Habilitar conexiones cifradas en el motor de base de datosEnable Encrypted Connections to the Database Engine

ESTE TEMA SE APLICA A:síSQL Server (a partir de 2008)noAzure SQL DatabasenoAzure SQL Data Warehouse noAlmacenamiento de datos paralelos THIS TOPIC APPLIES TO:yesSQL Server (starting with 2008)noAzure SQL DatabasenoAzure SQL Data Warehouse noParallel Data Warehouse

En este tema se describe cómo habilitar conexiones cifradas para una instancia de Motor de base de datos de SQL ServerSQL Server Database Engine mediante la especificación de un certificado para el Motor de base de datosDatabase Engine utilizando el Administrador de configuración de SQL ServerSQL Server .This topic describes how to enable encrypted connections for an instance of the Motor de base de datos de SQL ServerSQL Server Database Engine by specifying a certificate for the Motor de base de datosDatabase Engine using SQL ServerSQL Server Configuration Manager. El equipo servidor debe tener un certificado y el equipo cliente debe estar configurado para confiar en la entidad de certificación raíz del certificado.The server computer must have a certificate provisioned, and the client machine must be set up to trust the certificate's root authority. La puesta en servicio es el proceso de instalar un certificado mediante su importación en Windows.Provisioning is the process of installing a certificate by importing it into Windows.

El certificado debe estar emitido para la Autenticación de servidor.The certificate must be issued for Server Authentication. El nombre del certificado debe ser el nombre de dominio completo (FQDN) del equipo.The name of the certificate must be the fully qualified domain name (FQDN) of the computer.

Los certificados se almacenan localmente para los usuarios del equipo.Certificates are stored locally for the users on the computer. Para instalar un certificado para usarlo con SQL ServerSQL Server, debe ejecutar el Administrador de configuración de SQL ServerSQL Server con una cuenta que tenga privilegios de administrador local.To install a certificate for use by SQL ServerSQL Server, you must be running SQL ServerSQL Server Configuration Manager with an account that has local administrator privileges.

El cliente debe ser capaz de comprobar la propiedad del certificado utilizado por el servidor.The client must be able to verify the ownership of the certificate used by the server. Si el cliente tiene el certificado de clave pública de la entidad de certificación que firmó el certificado del servidor, no es necesario realizar una mayor configuración.If the client has the public key certificate of the certification authority that signed the server certificate, no further configuration is necessary. MicrosoftMicrosoft Windows incluye los certificados de clave pública de muchas entidades de certificación. Windows includes the public key certificates of many certification authorities. Si el certificado del servidor lo firmó una entidad de certificación pública o privada para la que el cliente no tiene certificado de clave pública, debe instalar el certificado de clave pública de esta entidad de certificación.If the server certificate was signed by a public or private certification authority for which the client does not have the public key certificate, you must install the public key certificate of the certification authority that signed the server certificate.

Nota

Si desea utilizar el cifrado con un clúster de conmutación por error, debe instalar el certificado del servidor con el nombre DNS completo del servidor virtual en todos los nodos del clúster de conmutación por error.To use encryption with a failover cluster, you must install the server certificate with the fully qualified DNS name of the virtual server on all nodes in the failover cluster. Por ejemplo, si tiene un clúster con dos nodos cuyos nombres son test1.<su empresa>.com y test2.<su empresa>.com y un servidor virtual llamado virtsql, deberá instalar un certificado para virtsql.<su empresa>.com en ambos nodos.For example, if you have a two-node cluster, with nodes named test1.<your company>.com and test2.<your company>.com, and you have a virtual server named virtsql, you need to install a certificate for virtsql.<your company>.com on both nodes. Puede establecer el valor de la opción ForceEncryptionen .You can set the value of the ForceEncryptionoption to Yes.

Nota

Al crear conexiones cifradas para un indexador de Azure Search en SQL Server en una máquina virtual de Azure, consulte Configuración de una conexión desde un indexador de Azure Search a SQL Server en una máquina virtual de Azure.When creating encrypted connections for an Azure Search indexer to SQL Server on an Azure VM, see Configure a connection from an Azure Search indexer to SQL Server on an Azure VM.

Para proporcionar (instalar) un certificado en el servidor To provision (install) a certificate on the server

  1. En el menú Inicio , haga clic en Ejecutar; en el cuadro Abrir , escriba MMC y haga clic en Aceptar.On the Start menu, click Run, and in the Open box, type MMC and click OK.

  2. En el menú Archivo de la consola MMC, haga clic en Agregar o quitar complemento.In the MMC console, on the File menu, click Add/Remove Snap-in.

  3. En el cuadro de diálogo Agregar o quitar complemento , haga clic en Agregar.In the Add/Remove Snap-in dialog box, click Add.

  4. En el cuadro de diálogo Agregar un complemento independiente , haga clic en Certificadosy, después, en Agregar.In the Add Standalone Snap-in dialog box, click Certificates, click Add.

  5. En el cuadro de diálogo Complemento de certificados , haga clic en Cuenta de equipoy, después, en Finalizar.In the Certificates snap-in dialog box, click Computer account, and then click Finish.

  6. En el cuadro de diálogo Agregar un complemento independiente , haga clic en Cerrar.In the Add Standalone Snap-in dialog box, click Close.

  7. En el cuadro de diálogo Agregar o quitar complemento , haga clic en Aceptar.In the Add/Remove Snap-in dialog box, click OK.

  8. En el complemento Certificados , expanda Certificados, expanda Personal. Tras ello, haga clic con el botón derecho en Certificados, seleccione Todas las tareasy, finalmente, haga clic en Importar.In the Certificates snap-in, expand Certificates, expand Personal, and then right-click Certificates, point to All Tasks, and then click Import.

  9. Haga clic con el botón derecho en el certificado importado, seleccione Todas las tareasy, luego, haga clic en Administrar claves privadas.Right-click the imported certificate, point to All Tasks, and then click Manage Private Keys. En el cuadro de diálogo Seguridad , agregue el permiso de lectura para la cuenta de usuario que la cuenta de servicio de SQL Server usa.In the Security dialog box, add read permission for the user account used by the SQL Server service account.

  10. Finalice el Asistente para importación de certificadospara agregar un certificado al equipo y cierre la consola MMC.Complete the Certificate Import Wizard, to add a certificate to the computer, and close the MMC console. Para obtener más información acerca de cómo agregar un certificado a un equipo, vea la documentación de Windows.For more information about adding a certificate to a computer, see your Windows documentation.

Para exportar el certificado del servidor To export the server certificate

  1. En el complemento Certificados , busque el certificado en la carpeta Certificados / Personal , haga clic con el botón derecho en Certificado, seleccione Todas las tareasy, luego, haga clic en Exportar.From the Certificates snap-in, locate the certificate in the Certificates / Personal folder, right-click the Certificate, point to All Tasks, and then click Export.

  2. Complete el Asistente para exportación de certificadosy guarde el archivo del certificado en una ubicación adecuada.Complete the Certificate Export Wizard, storing the certificate file in a convenient location.

Para configurar el servidor de modo que acepte conexiones cifradas To configure the server to accept encrypted connections

  1. En Administrador de configuración de SQL Server, expanda Configuración de red de SQL Server, haga clic con el botón derecho en Protocolos de <instancia de servidor> y, después, seleccione Propiedades.In SQL Server Configuration Manager, expand SQL Server Network Configuration, right-click Protocols for <server instance>, and then selectProperties.

  2. En el cuadro de diálogo Protocolos de <nombre de instancia> Propiedades, en la pestaña Certificado, seleccione el certificado que quiera en el menú desplegable del cuadro Certificado y, después, haga clic en Aceptar.In the Protocols for <instance name> Properties dialog box, on the Certificate tab, select the desired certificate from the drop-down for the Certificate box, and then click OK.

  3. En la pestaña Marcas , en el cuadro ForceEncryption , seleccione y, a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo.On the Flags tab, in the ForceEncryption box, select Yes, and then click OK to close the dialog box.

  4. Reinicie el servicio SQL ServerSQL Server .Restart the SQL ServerSQL Server service.

Certificados comodínWildcard Certificates

A partir de SQL ServerSQL Server 2008, SQL ServerSQL Server y SQL ServerSQL Server Native Client admiten los certificados comodín.Beginning with SQL ServerSQL Server 2008, SQL ServerSQL Server and the SQL ServerSQL Server Native Client support wildcard certificates. Es posible que otros clientes no admitan los certificados comodín.Other clients might not support wildcard certificates. Para más información, vea la documentación del cliente.For more information, see the client documentation. El certificado comodín no se puede seleccionar con el Administrador de configuración de SQL ServerSQL Server.Wildcard certificate cannot be selected by using the SQL ServerSQL Server Configuration Manager. Para usar un certificado comodín, debe editar la clave del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQLServer\SuperSocketNetLib y escribir la huella digital del certificado, sin espacios en blanco, en el valor Certificado.To use a wildcard certificate, you must edit the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQLServer\SuperSocketNetLib registry key, and enter the thumbprint of the certificate, without spaces, to the Certificate value.

Advertencia

Una modificación incorrecta del Registro puede provocar daños graves en el sistema.Incorrectly editing the registry can severely damage your system. Antes de efectuar cambios en el Registro, es recomendable que realice una copia de seguridad de los datos importantes del equipo.Before making changes to the registry, we recommend that you back up any valued data on the computer.

Para configurar el cliente de modo que solicite conexiones cifradas To configure the client to request encrypted connections

  1. Copie el certificado original o el archivo del certificado exportado en el equipo cliente.Copy either the original certificate or the exported certificate file to the client computer.

  2. En el equipo cliente, use el complemento Certificados para instalar el certificado raíz o el archivo del certificado exportado.On the client computer, use the Certificates snap-in to install either the root certificate or the exported certificate file.

  3. En el panel de la consola, haga clic con el botón derecho en Configuración de SQL Server Native Clienty, después, haga clic en Propiedades.In the console pane, right-click SQL Server Native Client Configuration, and then click Properties.

  4. En la página Marcas , en el cuadro Forzar cifrado de protocolo , haga clic en .On the Flags page, in the Force protocol encryption box, click Yes.

Para cifrar una conexión desde SQL Server Management Studio To encrypt a connection from SQL Server Management Studio

  1. En la barra de herramientas del Explorador de objetos, haga clic en Conectary, a continuación, en Motor de base de datos.On the Object Explorer toolbar, click Connect, and then click Database Engine.

  2. En el cuadro de diálogo Conectar al servidor , rellene la información de conexión y, a continuación, haga clic en Opciones.In the Connect to Server dialog box, complete the connection information, and then click Options.

  3. En la pestaña Propiedades de conexión , haga clic en Cifrar conexión.On the Connection Properties tab, click Encrypt connection.

Vea tambiénSee Also

Soporte de TLS 1.2 para Microsoft SQL ServerTLS 1.2 support for Microsoft SQL Server