Partilhar via

Conectar-se ao SQL Server com criptografia estrita

Aplica-se a: SQL Server 2022 (16.x)

A criptografia de conexão rigorosa impõe boas práticas de segurança e torna o tráfego do SQL Server gerenciável por dispositivos de rede padrão.

Neste artigo, saiba como se conectar ao SQL Server 2022 (16.x) e versões posteriores usando o tipo de conexão estrita.

Pré-requisito

Conectar-se ao SQL Server usando um aplicativo .NET

Para obter informações sobre como criar e conectar-se ao SQL Server usando o strict tipo de criptografia, consulte Sintaxe da cadeia de conexão sobre como criar corretamente a cadeia de conexão. Para obter mais informações sobre as novas propriedades da cadeia de conexão, consulte Alterações adicionais nas propriedades de criptografia da cadeia de conexão.

Conectar-se usando um DSN ODBC

Você pode testar uma conexão com o Strict tipo de criptografia de conexão usando um DSN ODBC para SQL Server.

  1. Procure o aplicativo Fontes de Dados ODBC no Windows.

    Captura de ecrã da aplicação de fontes de dados O D B C.

  2. Verifique se você tem o driver ODBC mais recente procurando na guia Drivers do Administrador de Fonte de Dados ODBC.

    Captura de tela dos drivers disponíveis.

  3. Na guia DSN do sistema , selecione Adicionar para criar um DSN. Em seguida, selecione o driver ODBC 18 para SQL Server. Selecione Concluir. Vamos usar isso para testar nossa conexão.

  4. Na janela Criar uma Nova Fonte de Dados para o SQL Server , forneça um nome para essa fonte de dados e adicione o nome do servidor SQL Server 2022 (16.x) ao Servidor. Selecione Avançar.

    Captura de tela da criação de uma fonte de dados usando o driver O D B C.

  5. Use todos os valores padrão para todas as configurações até chegar à tela que tem Criptografia de Conexão. Selecione Restrito. Se o nome do servidor que você inseriu for diferente daquele no certificado ou se o endereço IP for usado, defina HostName no certificado como o usado no certificado. Selecione Concluir.

    Captura de ecrã a mostrar o tipo de encriptação estrita.

  6. Quando a caixa de diálogo ODBC Microsoft SQL Server Setup aparecer, selecione o botão Test Data Source... para testar a conexão. Isso deve impor a conexão com o strict SQL Server para este teste.

Você também pode testar a conexão com o SQL Server com strict criptografia usando o driver OLE DB com UDL (Universal Data Link).

  1. Para criar um arquivo UDL para testar sua conexão, clique com o botão direito do mouse na área de trabalho e selecione Novo>documento de texto. Você precisará alterar a extensão de txt para udl. Você pode dar ao arquivo o nome que quiser.

    Observação

    Você precisará ser capaz de ver o nome da extensão para alterar a extensão de txt para udl. Se não conseguir ver a extensão, pode ativar a visualização da extensão abrindo Explorador de Ficheiros>,Mostrar>>extensões de nome de ficheiro.

  2. Abra o arquivo UDL que você criou e vá para a guia Provedor para selecionar o Microsoft OLE DB Driver 19 para SQL Server. Selecione Avançar >>.

    Captura de tela da tela do provedor U D L.

  3. Na guia Conexão , insira o nome do servidor SQL Server e selecione o método de autenticação usado para fazer logon no SQL Server.

    Captura de tela da tela de conexão U D L.

  4. Na guia Avançado , selecione Estrito para criptografia de conexão. Se o nome do servidor que você inseriu for diferente daquele no certificado ou se o endereço IP for usado, defina Nome do host no certificado como o usado no certificado. Volte para a guia Conexão quando terminar.

    Screenshot do ecrã avançado U D L.

  5. Selecione Testar conexão para testar a conexão com a criptografia de strict conexão.

    Captura de tela da tela de conexão U D L e conexão de teste.

Conecte-se com o SSMS

A partir da versão 20, você pode impor criptografia estrita no SQL Server Management Studio (SSMS) na guia Logons da caixa de diálogo Conectar ao Servidor :

Captura de tela da caixa de diálogo Conectar ao servidor no SQL Server Management Studio.

Conectar-se a um grupo de disponibilidade Always On

A partir do SQL Server 2025 (17.x), pode encriptar a comunicação entre o Cluster de Failover do Windows Server e uma réplica de um grupo de disponibilidade Always On, utilizando a encriptação de ligação do tipo Strict ou Mandatory. Seu grupo de disponibilidade só pode impor a criptografia se for baseado em um Cluster de Failover do Windows Server. Outros tipos de grupos de disponibilidade não suportam encriptação estrita.

As etapas diferem com base na existência ou não da sua disponibilidade.

Para forçar a encriptação estrita a um novo grupo de disponibilidade, siga estes passos:

  1. Se ainda não o fez, importe o certificado TLS para cada réplica do grupo de disponibilidade, conforme definido pelos requisitos de certificado. Reinicie cada instância do SQL Server depois de importar o certificado.
  2. Teste conexões com cada réplica do SQL Server usando um dos métodos mencionados neste artigo que impõe a criptografia.
  3. CREATE AVAILABILITY GROUP com a Encrypt propriedade definida na StrictCLUSTER_CONNECTION_OPTIONS cláusula para o grupo de disponibilidade. Isso garante que todas as conexões com o grupo de disponibilidade usem o tipo de criptografia especificado.
  4. Se o grupo de disponibilidade estiver online no momento, faça failover do grupo de disponibilidade para uma réplica secundária para aplicar as novas configurações de criptografia ao grupo de disponibilidade. Se o grupo de disponibilidade não ficar online, pode ser que o ClusterConnectionOptions não esteja definido corretamente. Verifique a cluster.log se há erros ODBC relacionados à falha de conexão do cluster com a réplica do SQL Server. Opcionalmente, você pode fazer com que o grupo de disponibilidade volte para a réplica primária original depois que a nova réplica secundária estiver online e conectada ao grupo de disponibilidade.
  5. (Opcional) Você pode impor ainda mais a criptografia definindo a opção Forçar criptografia estrita como Yes nas propriedades do SQL Server Configuration Manager para o protocolo de conexão para cada réplica. Essa configuração garante que todas as conexões com as réplicas do grupo de disponibilidade usem criptografia estrita. Reinicie cada réplica do SQL Server depois de alterar essa configuração.

Conectar-se a uma instância de cluster de failover

A partir do SQL Server 2025 (17.x), pode encriptar a comunicação entre o Cluster de Failover do Windows Server e uma instância de cluster de failover Always On usando Strict ou Mandatory tipo de encriptação de ligação. Para o fazer, siga estes passos:

  1. Se ainda não o fez, importe o certificado TLS para cada nó do cluster de failover, conforme definido pelos requisitos do certificado. Reinicie a instância do SQL Server depois de importar o certificado.
  2. Teste conexões com a instância de cluster de failover usando um dos métodos mencionados neste artigo que impõe criptografia.
  3. ALTER SERVER CONFIGURATION com a CLUSTER_CONNECTION_OPTIONS cláusula para definir a Encrypt propriedade como Mandatory ou Strict. Isso garante que todas as conexões com a instância de cluster de failover usem o tipo de criptografia especificado.
  4. Faça failover da instância para um nó secundário para aplicar as novas configurações de criptografia à instância de cluster de failover. Se a instância do cluster de failover não ficar online, pode ser que a ClusterConnectionOptions não esteja definida corretamente. Verifique a cluster.log se há erros ODBC relacionados à falha de conexão do cluster com a instância do SQL Server. Opcionalmente, você pode fazer failback da instância para o nó primário original depois que o novo nó secundário estiver online e conectado à instância de cluster de failover.
  5. (Opcional) Você pode impor ainda mais a criptografia definindo a opção Forçar Criptografia Estrita como Yes nas propriedades do SQL Server Configuration Manager para o protocolo de conexão para cada nó no cluster. Essa configuração garante que todas as conexões com a instância de cluster de failover usem criptografia estrita. Faça essa alteração no nó secundário, faça failover da instância para ele e, em seguida, faça a alteração no nó primário.

Forçar criptografia estrita com o SQL Server Configuration Manager

Você pode impor criptografia estrita usando o SQL Server Configuration Manager a partir do SQL Server 2022 (16.x). Para fazer isso, execute as seguintes etapas:

  1. Abra o SQL Server Configuration Manager.

  2. No painel esquerdo, expanda Configuração de Rede do SQL Server e selecione Protocolos para [InstanceName].

  3. Clique com o botão direito do mouse em TCP/IP e selecione Propriedades.

  4. Na caixa de diálogo Propriedades de TCP/IP , vá para a guia Sinalizadores e selecione Sim para a opção Forçar criptografia estrita :

    Captura de tela da opção Forçar criptografia estrita no SQL Server Configuration Manager.

  5. Reinicie a instância do SQL Server durante uma janela de manutenção para aplicar as alterações.

Observações

Se vir SSL certificate validation failed, valide que:

  • O certificado do servidor é válido na máquina que você está usando para teste
  • Pelo menos uma das seguintes situações é verdadeira:
    • O provedor SQL Server corresponde ao nome da autoridade de certificação ou a um dos nomes DNS no certificado.
    • HostNameInCertificate A propriedade da cadeia de conexão corresponde ao nome da autoridade de certificação ou a um dos nomes DNS no certificado.

Conteúdo relacionado

  • Last updated on