Conexión a SQL Server mediante cifrado strict

Se aplica a: SQL Server 2022 (16.x)

El cifrado de conexiones strict aplica prácticas recomendadas de seguridad y hace que los dispositivos de red estándar puedan administrar el tráfico de SQL Server.

En este artículo, aprenderá a conectarse a SQL Server 2022 (16.x) y versiones posteriores mediante el tipo de conexión strict.

Requisito previo

• SQL Server 2022 (16.x) o posterior
• ODBC u OLE DB Driver for SQL Server
  • ODBC Driver for SQL Server, versión 18.1.2.1 o superior
  • OLE DB Driver for SQL Server, versión 19.2.0 o superior
• Cree e instale un certificado TLS en SQL Server. Para obtener más información, vea Habilitación de conexiones cifradas en el motor de base de datos.

Conexión a SQL Server mediante una aplicación .NET

Para obtener información sobre cómo crear la cadena y conectarse a SQL Server mediante el tipo de cifrado strict, vea Sintaxis de cadena de conexión para saber cómo crear correctamente la cadena de conexión. Para obtener más información sobre las nuevas propiedades de cadena de conexión, vea Cambios adicionales en las propiedades de cifrado de cadena de conexión.

Conexión mediante un DSN ODBC

Una conexión se puede probar con el tipo de cifrado de conexión Strict mediante un DSN ODBC para SQL Server.

1. Busque la aplicación Orígenes de datos ODBC en Windows.

   

2. Asegúrese de que tiene el controlador ODBC más reciente; para ello, busque en la pestaña Controladores del Administrador de orígenes de datos ODBC.

   

3. En la pestaña DSN del sistema, seleccione Agregar para crear un DSN. Tras ello, seleccione ODBC Driver 18 for SQL Server. Seleccione Finalizar. Usaremos esto para probar nuestra conexión.

4. En la ventana Crear un nuevo origen de datos para SQL Server, proporcione un nombre para este origen de datos y agregue el nombre del servidor de SQL Server 2022 (16.x) a Servidor. Seleccione Siguiente.

   

5. Use todos los valores predeterminados de toda la configuración hasta llegar a la pantalla donde aparezca Cifrado de la conexión. Seleccione Estricto. Si el nombre del servidor especificado difiere del que consta en el certificado, o si se usa la dirección IP en su lugar, establezca HostName in certificate (Nombre de host de certificado) en el nombre que consta en el certificado. Seleccione Finalizar.

   

6. Cuando se abra el cuadro de diálogo Configuración de ODBC de Microsoft SQL Server, seleccione el botón Probar origen de datos... para probar la conexión. Esto debería aplicar la conexión strict a SQL Server en esta prueba.

Conexión mediante vínculo de datos universal

La conexión a SQL Server mediante cifrado strict también se puede probar mediante OLE DB Driver con UDL (vínculo de datos universal).

1. Para crear un archivo UDL para probar la conexión, haga clic con el botón derecho en el escritorio y seleccione Nuevo>Documento de texto. Deberá cambiar la extensión de txt a udl. Puede dar al archivo el nombre que quiera.

   Nota:

   El nombre de extensión debe estar visible para poder cambiar la extensión de txt a udl. Si no lo ve, puede habilitar su visualización yendo a Explorador de archivos>Ver>Mostrar>Extensiones de nombre de archivo.

2. Abra el archivo UDL que ha creado y vaya a la pestaña Proveedor para seleccionar Microsoft OLE DB Driver 19 for SQL Server. Seleccione Siguiente>>.

   

3. En la pestaña Conexión, escriba el nombre del servidor de SQL Server y seleccione el método de autenticación que use para iniciar sesión en SQL Server.

   

4. En la pestaña Opciones avanzadas, seleccione Estricto en Cifrado de la conexión. Si el nombre del servidor especificado difiere del que consta en el certificado, o si se usa la dirección IP en su lugar, establezca HostName in certificate (Nombre de host de certificado) en el nombre que consta en el certificado. Vuelva a la pestaña Conexión cuando haya terminado.

   

5. Seleccione Probar conexión para probar la conexión con el cifrado de conexión strict.

   

Conexión con SSMS

A partir de la versión 20, puede aplicar el cifrado estricto en SQL Server Management Studio (SSMS) en la pestaña Inicios de sesión del cuadro de diálogo Conectar al servidor :

Conexión a un grupo de disponibilidad AlwaysOn

A partir de SQL Server 2025 (17.x), puede cifrar la comunicación entre el clúster de conmutación por error de Windows Server y una réplica de grupo de disponibilidad Always On usando el tipo de cifrado de conexión Strict o Mandatory. El grupo de disponibilidad solo puede aplicar el cifrado si se basa en un clúster de conmutación por error de Windows Server. Otros tipos de grupos de disponibilidad no admiten el cifrado estricto.

Los pasos difieren en función de si la disponibilidad ya existe o no.

Nuevo grupo de disponibilidad

Para forzar el cifrado estricto a un nuevo grupo de disponibilidad, siga estos pasos:

1. Si aún no lo ha hecho, importe el certificado TLS a todas las réplicas del grupo de disponibilidad, tal como se definen en los requisitos de certificado. Reinicie cada instancia de SQL Server después de importar el certificado.
2. Pruebe las conexiones a cada réplica de SQL Server mediante uno de los métodos mencionados en este artículo que aplica el cifrado.
3. CREATE AVAILABILITY GROUP con la Encrypt propiedad establecida Strict en en la CLUSTER_CONNECTION_OPTIONS cláusula para el grupo de disponibilidad. Esto garantiza que todas las conexiones al grupo de disponibilidad usen el tipo de cifrado especificado.
4. Si el grupo de disponibilidad está actualmente en línea, conmute por error el grupo de disponibilidad a una réplica secundaria para aplicar la nueva configuración de cifrado al grupo de disponibilidad. Si el grupo de disponibilidad no se puede conectar, podría ser que ClusterConnectionOptions no se ha ajustado correctamente. Compruebe el cluster.log si hay errores odbc relacionados con el clúster que no se pueden conectar a la réplica de SQL Server. Opcionalmente, puede devolver el grupo de disponibilidad a la réplica principal original después de que la nueva réplica secundaria esté en línea y conectada al grupo de disponibilidad.
5. (Opcional) Puede aplicar aún más el cifrado estableciendo la opción Forzar cifrado estricto en Yes en las propiedades del Administrador de configuración de SQL Server para el protocolo de conexión para cada réplica. Esta configuración garantiza que todas las conexiones a las réplicas del grupo de disponibilidad usen cifrado estricto. Reinicie cada réplica de SQL Server después de cambiar esta configuración.

Grupo de disponibilidad existente

Antes de empezar a configurar el grupo de disponibilidad existente para el cifrado estricto, siga los pasos descritos en actualizaciones graduales durante una ventana de mantenimiento para minimizar el tiempo de inactividad y evitar la pérdida de datos.

Para configurar el grupo de disponibilidad existente para el cifrado estricto, siga estos pasos durante una ventana de mantenimiento:

1. Si aún no lo ha hecho, importe el certificado TLS a todas las réplicas secundarias del grupo de disponibilidad, tal como se definen en los requisitos de certificado. Reinicie cada réplica secundaria de SQL Server después de importar el certificado.
2. Pruebe las conexiones a cada réplica de SQL Server mediante uno de los métodos mencionados en este artículo que aplica el cifrado.
3. Conmute por error el grupo de disponibilidad a una de las réplicas secundarias a las que acaba de conectarse. Esto hará que sea la nueva réplica principal.
4. Importe el certificado TLS a la nueva réplica secundaria que solía ser la réplica principal. Reinicie la instancia de SQL Server después de importar el certificado.
5. Actualice las cadenas de conexión de la aplicación cliente para conectarse al grupo de disponibilidad con cifrado aplicado.
6. ALTER AVAILABILITY GROUP con la CLUSTER_CONNECTION_OPTIONS cláusula para establecer la Encrypt propiedad en Mandatory o Strict. Esto garantiza que todas las conexiones al grupo de disponibilidad usen el tipo de cifrado especificado.
7. Si el grupo de disponibilidad está actualmente en línea, conmute por error el grupo de disponibilidad a una réplica secundaria para aplicar la nueva configuración de cifrado al grupo de disponibilidad. Si el grupo de disponibilidad no se puede conectar, podría ser que ClusterConnectionOptions no se ha ajustado correctamente. Compruebe el cluster.log si hay errores odbc relacionados con el clúster que no se pueden conectar a la réplica de SQL Server. Opcionalmente, puede devolver el grupo de disponibilidad a la réplica principal original después de que la nueva réplica secundaria esté en línea y conectada al grupo de disponibilidad.
8. (Opcional) Puede aplicar aún más el cifrado estableciendo la opción Forzar cifrado estricto en Yes en las propiedades del Administrador de configuración de SQL Server para el protocolo de conexión para cada réplica. Esta configuración garantiza que todas las conexiones a las réplicas del grupo de disponibilidad usen cifrado estricto. Reinicie cada réplica de SQL Server después de cambiar esta configuración.

Conexión a una instancia de clúster de conmutación por error

A partir de SQL Server 2025 (17.x), puede cifrar la comunicación entre el clúster de conmutación por error de Windows Server y una instancia de clúster de conmutación por error Always On utilizando el tipo de cifrado de conexión Strict o Mandatory. Para ello, siga estos pasos:

1. Si aún no lo ha hecho, importe el certificado TLS a cada nodo del clúster de conmutación por error, tal como se define en los requisitos de certificado. Reinicie la instancia de SQL Server después de importar el certificado.
2. Pruebe las conexiones a la instancia del clúster de conmutación por error mediante uno de los métodos mencionados en este artículo que aplica el cifrado.
3. ALTER SERVER CONFIGURATION con la CLUSTER_CONNECTION_OPTIONS cláusula para establecer la Encrypt propiedad en Mandatory o Strict. Esto garantiza que todas las conexiones a la instancia del clúster de conmutación por error usen el tipo de cifrado especificado.
4. Conmute la instancia a un nodo secundario para aplicar la nueva configuración de cifrado a la instancia del clúster de conmutación por error. Si la instancia del clúster de conmutación por error no se puede conectar, podría ser que ClusterConnectionOptions no se ha establecido correctamente. Compruebe el cluster.log para ver si hay errores de ODBC relacionados con el clúster que no se pueden conectar a la instancia de SQL Server. Opcionalmente, puede conmutar por recuperación la instancia al nodo principal original después de que el nuevo nodo secundario esté en línea y conectado a la instancia del clúster de conmutación por error.
5. (Opcional) Puede aplicar aún más el cifrado estableciendo la opción Forzar cifrado estricto en Yes en las propiedades del Administrador de configuración de SQL Server para el protocolo de conexión para cada nodo del clúster. Esta configuración garantiza que todas las conexiones a la instancia del clúster de conmutación por error usen cifrado estricto. Realice este cambio en el nodo secundario, conmute por error la instancia a ella y, a continuación, realice el cambio en el nodo principal.

Forzar el cifrado estricto con el Administrador de configuración de SQL Server

Puede aplicar el cifrado estricto mediante el Administrador de configuración de SQL Server a partir de SQL Server 2022 (16.x). Para ello, siga estos pasos:

1. Abra el Administrador de configuración de SQL Server.

2. En el panel izquierdo, expanda Configuración de red de SQL Server y seleccione Protocolos para [NombreDeInstancia].

3. Haga clic con el botón derecho en TCP/IP y seleccione Propiedades.

4. En el cuadro de diálogo Propiedades de TCP/IP , vaya a la pestaña Marcas y seleccione Sí para la opción Forzar cifrado estricto :

   

5. Reinicie la instancia de SQL Server durante una ventana de mantenimiento para aplicar los cambios.

Comentarios

Si ve SSL certificate validation failed, valide lo siguiente:

• El certificado de servidor es válido en el equipo que está usando para realizar las pruebas.
• Se cumple al menos una de las siguientes condiciones:
  • La información de la pestaña Proveedor de SQL Server coincide con el nombre de entidad de certificación o con uno de los nombres DNS en el certificado.
  • La propiedad de cadena de conexión HostNameInCertificate coincide con el nombre de entidad de certificación o con uno de los nombres DNS en el certificado.

Contenido relacionado

• TDS 8.0
• Configuración de TLS 1.3