Certificados ssl

Josu, tanto Windows 2000 como Windows 2003 incorporan su propia entidad
emisora de certificados, no necesitas productos de terceros:
http://www.microsoft.com/windowsser...fault.mspx
Una vez que tengas instalada tu entidad emisora de certificados, para el SQL
debes emitir e instalar en la maquina SQL un certificado que tenga estas
caracteristicas:

http://www.microsoft.com/resources/...c1061.mspx
Network Encryption Using SSL/TLS
SQL Server 2000 now automatically supports encryption of data and other
network traffic as it travels between the client and server systems on a
network. The encryption strength depends on the encryption capabilities
authorized by the certificate installed for SQL Server and the cryptographic
capabilities of the client and the server.
The certificate selected for SQL Server must be assigned to the name of the
server, in the form of the fully qualified Domain Name System (DNS) server
name (for example, SQLServer.Redmond.corp.Microsoft.com). The certificate
must be valid for server authentication. Log in to SQL Server as the SQL
Server service account, obtain the certificate (from either an internal
certificate authority or a trusted third-party provider), and then install
it on the server in the location suggested when you import the certificate.

Tanto en el servidor SQL como en todos los cleintes que vayan a necesitar
establecer conexiones con el SQL debes instalar el certificado raiz de tu
entidad emisora de certificados para que puedan validar el certificado del
servidor SQL.

Si no quieres utilizar SSL/TLS en el SQL y unicamente te preocupa las
comunicaciones wifi, lo ideal seria que tanto el AP como las tarjetas WiFi
soportasen WPA o WPA2. Podrias utilizar WPA-PSK, pero, si ya dispones de un
dominio Windows 2000/2003 y quieres una seguridad mucho mayor lo ideal seria
implmentar seguridad 802.1x con autentificacion PEAP-MS CHAP v2 o EPA-TLS.

De todas formas, aun utilizando SSL/TLS en el SQL, te recomiendo que en la
red WiFi intentes utilizar WPA/WPA2 con autentificacion 802.1x. WEP no es
una opcion valida si la seguridad te preocupa minimamente.

Un saludo.
Ivan
MS MVP ISA Server


escribió en el mensaje
news:
Hola a todos y todas:

Llevo un tiempo dandole vueltas al tema y el otro dia me decidi a
escribir al foro de SQL Server, ya que creia q el tema le correspondia
mas, pero alli me aconsejaron q preguntase por aqui, q es mas un tema
de windows (aun asi yo sigo creyendo q corresponde a sql server :D),
asi q os comento mi problema:

Tengo una aplicación vb6.0 que se conecta a un servidor sql server
2000. En mi oficina lo hace por cable de red, mientras que en el lugar
de trabajo de mi cliente lo hará por WI-FI y estan algo preocupados
con que alguien pueda "escuchar" sus datos, por tanto debo cifrar las
comunicaciones. He leido por unas cuantas webs y foros la forma de
activar SSL en sql server, y por lo que he entendido necesitamos un
certificado digital tanto yo(para realizar pruebas), como mi
cliente(que ya lo tiene).
He seguido los pasos que he leido en
http://support.microsoft.com/?kbid16898, y al pulsar en solicitar un
nuevo certificado obtengo un bonito error que me afirma que el
asistente no se puede iniciar por:
No hay entidades emisoras de confianza disponibles
No tengo permisos para solicitar certificados desde las CA
disponibles
Las CA emiten certificados para las que no tengo permisos.

Mis preguntas son:
1) tengo alguna otra manera de cifrar las comunicaciones sin pasar por
estos errores?
2) en caso de tener que hacermen con un certificado, puedo hacerme con
uno para realizar estas pruebas sin tener q comprarlo? en caso
afirmativo como lo instalo??


Esto de arriba es lo que postee en el foro de sql server, despues de
dias y dias buscando por la red me tope con una aplicacion llamada
openssl que permite generar certificados. El caso es q despues de
generar unos cuantos certificados y realizar pruebas sin exito, se me
ocurrio (no se pq no paso antes), mirar el log de sql server, y resulta
q este o no encuentra el certificado o el certificado no es valido.
A alguien se le ocurre algo?

Gracias de antemano y un saludo!!!

Hola!!!
Ante todo darte las gracias por tu respuesta, me ha aclarado unas
cuantas cosas, sin embargo, siempre q se avanzasurgen nuevas dudas

Sin querer abusar de tus conocimientos ahi van un par de dudas que me
han surgido a raiz de algo q escribiste:

Ivan [MS MVP] wrote:

Josu, tanto Windows 2000 como Windows 2003 incorporan su propia

entidad

emisora de certificados, no necesitas productos de terceros:

http://www.microsoft.com/windowsser...fault.mspx

Una vez que tengas instalada tu entidad emisora de certificados, para

el SQL

debes emitir e instalar en la maquina SQL un certificado que tenga

estas

caracteristicas:

Entonces, por alguna oscura razon, tengo el sql server instalado en un
XP, no tengo forma de realizar esto?
Por lo que he leido en uno de los articulos que has mandado, necesito
un certificado de autenticacion de servidor, cosa evidente por otra
parte, sin embargo, al darme un paseo por webs de algunas entidades
emisoras de certificados, siempre, al menos las que he visitado,
preguntan el tipo de servidor: Apache, IIS etc... si quiero coger
alguno, tengo q elegir uno de esos o voy por el camino malo??
Sin mas, un saludo!!!

escribió en el mensaje
news:

Entonces, por alguna oscura razon, tengo el sql server instalado en un
XP, no tengo forma de realizar esto?

Bueno, SQL no es lo mio y desconozco cuales son las posibilidades al
instalarlo en un XP, imagino que tendra sus limitaciones. Yo partia de la
base de que hablabamos de SQL sobre Windows 2000/2003 server

Por lo que he leido en uno de los articulos que has mandado, necesito
un certificado de autenticacion de servidor, cosa evidente por otra
parte, sin embargo, al darme un paseo por webs de algunas entidades
emisoras de certificados, siempre, al menos las que he visitado,
preguntan el tipo de servidor: Apache, IIS etc... si quiero coger
alguno, tengo q elegir uno de esos o voy por el camino malo??
Sin mas, un saludo!!!

Como el SQL doy por sentado que lo van a utilizar los usuarios de la propia
empresa, no tiene sentido comprar un certificado a una entidad emisora. Si
dispones de un Windows 2000/2003 server, instala una entidad emisora de
certificados y solicita un certificado a tu propia entidad emisora. Desde tu
propia entidad emisora de certificados, debes tambien descargarte el
certificado raiz de tu entidad emisora e instalarlo tanto en el SQL como en
los clientes (esto se puede automatizar mediante GPO si estas en un dominio
Windows 2000/2003 y clientes XP, 2000 y 2003). Te sugiero que dediques
tiempo a mirar los articulos del link que te he pasado. Si no estas
familiarizado con todo lo relacionado con un PKI, puede ser muy complicado.
Cuando es necesario usar un certificado de una entidad emisora comercial ?
pues por regla general, cuando queremos usar conexiones SSL/TLS y los
clientes que se van a conectar no estan bajo nuestro control y por lo tanto
no podemos instalarles o decirles que se instalen el certificado raiz de
nuestra entidad emisora. Imagina que creas un sitio web seguro al que se va
a poder conectar culquier usuario, previo registro y autentificacion, de
cualquier parte del mundo. Si adquieres un certificado digital de Verisign,
por ejemplo, sabes que no tendras problemas ya que todos los sistemas
operativos incluyen el certificado raiz de Verisign y por lo tanto pueden
validar el certificado de tu sitio web. Si utilizas un certificado propio,
cuando un cliente se conecte a tu pagina web, en el navegador le aparecera
el tipico mensaje de advertencia en el que le indica que esta accediendo a
un sitio seguro en el que no se puede confiar, y no se puede confiar porque
no tiene el certificado raiz de tu entidad emisora para poder verificar el
certificado digital que le envia el servidor web. De todas formas, en un
navegador, el usuario puede decidir si entre o no entra en el sitio web,
pero, cuando hablamos de otro tipo de aplicaciones que utilizan TLS, por
ejemplo: SMTPS, POP3S, EAP-TLS, IPSec, et, etc esta opcion no existe y la
aplicacion falla directamente si no puede validar el certificado digital.

Si me comentas tu entorno: si estas en un grupo de trabajo o un dominio y
mas importante, cuales son tus requerimientos de seguridad, quizas te pueda
ayudar algo mas. Quizas estas intentando matar moscas a cañonazos ;-)

Un saludo.
Ivan
MS MVP ISA Server