Suporte ao TLS v1.2 (Microsoft SQL Server)

O CA UIM oferece suporte ao protocolo TLS (Transport Layer Security) v1.2 na comunicação com o banco de dados do UIM: Microsoft SQL Server. Esse suporte permite que o UIM Server estabeleça uma comunicação segura com o banco de dados do UIM. Para ativar o suporte ao TLS v1.2 para o Microsoft SQL Server, certifique-se de executar as configurações necessárias no computador do Microsoft SQL Server (servidor de banco de dados) e no UIM Server (computador cliente).
uim902
O CA UIM oferece suporte ao protocolo TLS (Transport Layer Security) v1.2 na comunicação com o banco de dados do UIM: Microsoft SQL Server. Esse suporte permite que o UIM Server estabeleça uma comunicação segura com o banco de dados do UIM. Para ativar o suporte ao TLS v1.2 para o Microsoft SQL Server, certifique-se de executar as configurações necessárias no computador do Microsoft SQL Server (servidor de banco de dados) e no UIM Server (computador cliente).
As seguintes versões do Microsoft SQL Server são suportadas:
  • 2012
  • 2014
  • 2016
  • 2017
  • 2019
O seguinte diagrama mostra o processo de alto nível:
Suporte ao Microsoft SQL Server TLS 1.2
Microsoft SQL Server TLS 1.2 Support
  • O CABI não é suportado para o Microsoft SQL Server 2017.
  • O probe cabi 4.30 oferecerá suporte a TLS v1.2, exceto se o Microsoft SQL Server 2012, 2014 ou 2016 estiver instalado no Windows Server 2016.
  • O probe cabi 4.10 suporta o TLS v1.2 ao se comunicar com o banco de dados do UIM: Microsoft SQL Server 2012, 2014 e 2016. No entanto, o CABI não será suportado se o Microsoft SQL Server 2012, 2014 ou 2016 estiver instalado no Windows Server 2016 e o TLS v1.2 estiver ativado.
  • O probe cabi 3.40, disponível com o UMP 9.0.2 HF2, oferece suporte ao TLS v1.2 ao se comunicar com o banco de dados do UIM: Microsoft SQL Server 2012 e 2014. No entanto, o CABI não será suportado se o Microsoft SQL Server 2012 ou 2014 estiver instalado no Windows Server 2016 e o TLS v1.2 estiver ativado.
    Para obter mais informações sobre como aplicar o UMP 9.0.2 HF2 para a funcionalidade TLS do CABI, consulte UMP 9.0.2 HF2.
  • O probe cabi 3.32 não oferece suporte ao TLS v1.2 ao se comunicar com o banco de dados do UIM: Microsoft SQL Server 2012, 2014, 2016 e 2017. Como resultado, não é possível exibir a página inicial do Console do operador, os painéis e os relatórios prontos para uso do CABI.
  • O suporte ao TLS v1.2 não é ativado por padrão quando você instala o CA UIM 9.0.2.
Configurações no servidor de banco de dados
Execute as tarefas a seguir no servidor de banco de dados.
  1. Verificar o requisito de FQDN
  2. Verificar e aplicar patches para o Microsoft SQL Server
  3. Desativar versões anteriores de certificados
  4. Importar o certificado para o servidor de banco de dados
  5. Conceder direitos do SQL Server para usar o certificado
  6. Ativar a criptografia no servidor de banco de dados
  7. Exportar o certificado no servidor de banco de dados
Verificar o requisito de FQDN
Verifique se o nome completo do computador é FQDN (por exemplo, VI02-E74.ca.com). Caso contrário, adicione o nome do domínio (por exemplo, ca.com) ao nome do computador.
Siga estas etapas:
  1. Acesse o painel de propriedades do computador (por exemplo, clique com o botão direito do mouse no ícone de Computador na área de trabalho e selecione
    Propriedades
    ).
  2. Clique em
    Configurações avançadas do sistema
    no painel esquerdo.
  3. Clique na guia do
    Nome do computador
    .
  4. Clique em
    Alterar
    .
  5. Clique em
    Mais
    .
  6. Digite o nome de domínio no campo
    Sufixo DNS primário deste computador
    .
  7. Clique em
    OK
    e reinicie o computador.
  8. Verifique se o nome completo do computador agora é FQDN.
A seguinte captura de tela de exemplo mostra que o nome completo do computador é FQDN:
FQDN.jpg
Verificar e aplicar patches para o Microsoft SQL Server
Para versões do Microsoft SQL Server que não oferecem suporte ao TLS v1.2 por padrão, siga as informações no artigo Suporte a TLS 1.2 para o Microsoft SQL Server. Seguindo as instruções deste artigo, você pode baixar e aplicar os pacotes necessários de acordo com a sua versão do Microsoft SQL Server. Para versões do Microsoft SQL Server (por exemplo, 2016) que oferecem suporte ao TLS v1.2 por padrão, não é necessário executar esse processo manual.
Desativar versões anteriores de certificados
Altere as chaves de registro para desativar todas as versões anteriores dos certificados no servidor de banco de dados. Verifique as seguintes chaves do registro no servidor de banco de dados:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
Para as entradas de Cliente e Servidor, insira as seguintes entradas DWord e Value:
  • DisabledByDefault=00000000
  • Enabled=00000001
Para obter mais informações, consulte a seção TLS 1.2 em TLS/SSL Settings.
Importar o certificado para o servidor de banco de dados
(Para certificados aprovados pela autoridade de certificação) Use o IIS (Internet Information Services - Serviços de Informações da Internet) para importar o certificado aprovado pela autoridade de certificação para o servidor de banco de dados. Verifique se o certificado necessário está disponível para você.
Caso o IIS ainda não esteja instalado no servidor de banco de dados, instale-o.
Siga estas etapas:
  1. Clique em Iniciar, Executar e digite inetmgr para abrir o IIS.
  2. Clique em
    <nome_do_servidor>
    .
  3. Localize e clique duas vezes em
    Server Certificates
    , conforme mostrado na seguinte captura de tela de exemplo:
    IIS.jpg
  4. Clique com o botão direito do mouse no painel direito e selecione
    Importar
    no menu de contexto.
    A caixa de diálogo
    Importar certificado
    é aberta.
  5. Vá para o local onde o arquivo do certificado está disponível.
  6. Insira a senha necessária.
  7. Clique em
    OK
    .
O certificado é importado para o servidor de banco de dados. A seguinte captura de tela de exemplo mostra um certificado importado:
Certificate.jpg
Ao usar certificados, o certificado deve ser emitido para o FQDN (Fully Qualified Domain Name - Nome de Domínio Totalmente Qualificado) do computador, não o nome do host. Além disso, certifique-se de que o nome do servidor de banco de dados também seja FQDN. Se tanto o certificado quanto o nome do servidor não forem FQDN, você encontrará problemas de conexão.
O procedimento de importação explicado acima não é necessário para os certificados autoassinados. Quando você cria certificados autoassinados usando o IIS, eles se tornam disponíveis no IIS. Portanto, não é necessário executar esse processo de importação.
Criar os certificados autoassinados usando o IIS
Analise as seguintes etapas se desejar criar um certificado autoassinado usando o IIS:
  1. Verifique se o nome completo do computador é FQDN (por exemplo, sa-01.ca.com). Caso contrário, siga as etapas mencionadas na seção Requisitos do sistema.
  2. Clique em Iniciar, Executar e digite inetmgr para abrir o IIS.
  3. Clique em
    <nome_do_servidor>
    .
  4. Localize e clique duas vezes em
    Certificados de servidor
    .
  5. Clique com o botão direito do mouse no painel direito e selecione Criar certificado autoassinado no menu de contexto.
  6. Digite o nome FQDN (por exemplo,
    <nome_do_computador>
    .ca.com) para o certificado.
  7. Clique em
    OK
    .
O certificado autoassinado é criado e listado no painel
Certificados de servidor
.
Conceder direitos do SQL Server para usar o certificado
Você deve fornecer os direitos do SQL Server para usar o certificado. Use o SQL Server Configuration Manager e o Console de Gerenciamento Microsoft para executar essa tarefa.
Siga estas etapas:
  1. Abra o SQL Server Configuration Manager.
  2. Localize e selecione
    SQL Server Services
    no painel esquerdo.
  3. Selecione a sua instância do SQL Server no painel direito.
  4. Clique com o botão direito do mouse na instância do SQL Server e selecione
    Propriedades
    no menu de contexto, conforme mostrado na seguinte captura de tela:
    SQLServerAccess.jpg
  5. Copie a entrada do nome da conta presente no campo
    Nome da Conta
    .
  6. Abra o MMC (Microsoft Management Console - Console de Gerenciamento Microsoft).
  7. Clique em
    Arquivo, Adicionar/remover snap-in
    .
  8. Clique em
    Certificados
    .
  9. Clique em
    Adicionar
    , conforme mostrado na seguinte captura de tela de exemplo:
    MMC_Access.jpg
  10. Selecione
    Conta de computador
    .
  11. Clique em
    Next
    .
  12. Selecione a opção do computador local.
  13. Clique em
    Finish
    .
  14. Clique em
    OK
    .
  15. Localize e selecione o certificado.
  16. Clique com o botão direito do mouse no certificado, selecione
    Todas as Tarefas, Gerenciar Chaves Privadas
    no menu de contexto.
  17. Adicione o nome da conta copiado.
  18. Conceda acesso de leitura ao nome da conta.
Ativar a criptografia no servidor de banco de dados
Use o SQL Server Configuration Manager para ativar a criptografia no servidor de banco de dados.
Siga estas etapas:
  1. Abra o SQL Server Configuration Manager.
  2. Localize e expanda
    Configuração de Rede do SQL Server
    .
  3. Clique com o botão direito do mouse em
    Protocols for
    <SQL_Server>
    e selecione
    Propriedades
    no menu de contexto, conforme mostrado na seguinte captura de tela:
    Enable_Encryption_DB.jpg
  4. Clique na guia
    Certificado
    .
  5. Selecione o certificado necessário na lista suspensa
    Certificado
    .
  6. Clique na guia
    Sinalizadores
    .
  7. Selecione
    Sim
    para a opção
    Forced Encryption
    , conforme mostrado na seguinte captura de tela de exemplo:
    Forced Encryption.jpg
  8. Clique em
    OK
    .
  9. Reinicie o serviço do SQL Server.
A criptografia está ativada no servidor de banco de dados para o certificado.
Exportar o certificado do servidor de banco de dados
(Para certificados autoassinados) Exporte o certificado autoassinado para o servidor de banco de dados de modo que o UIM Server (cliente, neste caso) possa usá-lo. O UIM Server (cliente) deve confiar no certificado que está disponível no servidor de banco de dados.
Não é necessário executar essa tarefa em caso de certificados aprovados pela autoridade de certificação, pois o arquivo de certificado já está disponível.
Siga estas etapas:
  1. Abra o MMC (Microsoft Management Console - Console de Gerenciamento Microsoft).
  2. Clique em
    Arquivo, Adicionar/remover snap-in
    .
  3. Clique em
    Certificados
    .
  4. Clique em
    Add
    .
  5. Selecione
    Conta de computador
    .
  6. Clique em
    Next
    .
  7. Selecione a opção do computador local.
  8. Clique em
    Finish
    .
  9. Clique em
    OK
    .
  10. Localize o certificado.
  11. Clique com o botão direito do mouse no certificado e selecione
    Todas as tarefas, Exportar
    , no menu de contexto, conforme mostrado na seguinte captura de tela:
    All_Tasks_Export.jpg
  12. Clique em
    Avançar
    no Assistente para Exportação de Certificados.
  13. Siga as seleções necessárias para
    X.509 codificado em Base 64 (.CER)
    e especifique o local onde deseja salvar o arquivo exportado. O local deve ser acessível para o UIM Server (computador cliente).
O certificado autoassinado é exportado com êxito para um local no servidor de banco de dados que pode ser acessado pelo UIM Server.
Você configurou com êxito o servidor de banco de dados do UIM para o suporte ao TLS v1.2.
Configurações no UIM Server
Execute as tarefas a seguir no cliente (UIM Server).
  1. Importar o certificado no UIM Server
  2. Criar o Java KeyStore para o certificado do servidor
  3. Instalar o UIM Server
Importar o certificado no UIM Server
Importe o certificado no UIM Server (computador cliente). Esta etapa é necessária para garantir que o UIM Server possa confiar no certificado disponível no servidor de banco de dados.Você deve importar o certificado no repositório de certificados Autoridades de certificação confiáveis no UIM Server.
Siga estas etapas:
  1. Abra o MMC (Microsoft Management Console - Console de Gerenciamento Microsoft).
  2. Clique em
    Arquivo, Adicionar/remover snap-in
    .
  3. Selecione
    Certificados
    e clique em
    Adicionar
    .
  4. Selecione
    Conta de computador
    .
  5. Selecione a opção do computador local.
  6. Clique em
    Finish
    .
  7. Clique em
    OK
    .
  8. Clique em
    Certificados (computador Local)
    .
  9. Vá para a pasta
    Autoridades de certificação confiáveis
    .
  10. Clique com o botão direito do mouse na pasta
    Autoridades de certificação confiáveis
    e selecione
    Todas as tarefas, Importar
    no menu de contexto, conforme mostrado na seguinte captura de tela de exemplo:
    All_Tasks_Import.jpg
  11. Clique em
    Avançar
    no Assistente para Importação de Certificados.
  12. Clique em
    Procurar
    e vá para o local onde você salvou o arquivo de certificado.
  13. Clique em
    Next
    .
  14. Verifique se
    Autoridades de certificação confiáveis
    está selecionado como o local para armazenar todos os certificados.
  15. Clique em
    Finish
    .
  16. Clique em
    OK
    .
O certificado é importado no UIM Server (computador cliente) como um certificado confiável.
Você também deve importar o certificado para o robô em que o CABI estiver disponível. Após a importação, desative e ative o CABI.
Criar um arquivo .jks para o certificado do servidor
Você também precisa criar um arquivo .jks (arquivo de repositório de chaves do Java) no UIM Server para armazenar o certificado do servidor. O arquivo .jks, quando criado, inclui o certificado do servidor de banco de dados. Você pode usar o Java Keytool, que é uma ferramenta de gerenciamento de chaves e certificados, para gerar o arquivo .jks.A ferramenta armazena as chaves e certificados em um repositório chamado repositório de chaves.
Especifique o local do arquivo .jks gerado durante a instalação do UIM Server.O programa de instalação do UIM Server copia o arquivo .jks do local especificado e o coloca na pasta <Nimsoft>\security durante a instalação. O programa de instalação, em seguida, renomeia o arquivo copiado como truststore.jks.
Siga estas etapas:
  1. Certifique-se de que o JRE (jre1.8.0) esteja instalado no computador.
  2. Especifique o local do JRE na variável de ambiente
    PATH
    ; por exemplo,
    C:\Program Files\Java\jre1.8.0_131\bin;
  3. Execute o seguinte comando usando o certificado .cer para gerar o arquivo .jks:
    Sintaxe:
    keytool -import -alias <alias_name> -file <certificate_file> -keystore <jks_filename> -storepass <password>
    Exemplo:
    C:\keytool -import -alias sa-01.ca.com -file sa-01.ca.com.cer -keystore sa-01.ca.com.jks -storepass [email protected]
  4. Digite
    yes
    quando o sistema perguntar se deseja confiar no certificado.
    O arquivo .jks é criado.
Este comando usa as seguintes opções:
  • -file
    Especifica o local em que o arquivo de certificado de origem está disponível.
  • -keystore
    Especifica o local em que deseja salvar o arquivo .jks criado quando o comando é executado com êxito.
  • -storepass
    Especifica a senha para o arquivo .jks.
  • -alias
    Especifica o nome do alias, que é nesse caso o nome do servidor de banco de dados (FQDN).
Se sua CA (Certification Authority - Autoridade de Certificação) fornecer um arquivo .p12, você poderá usar o seguinte comando para importá-lo no arquivo .jks:
Sintaxe:
keytool -importkeystore -srckeystore <certificate_filename> -srcstoretype <type> -srcstorepass <password> -destkeystore <jks_filename> -deststorepass <password> -alias <alias_name>
Exemplo:
C:\keytool -importkeystore -srckeystore sa01-i185.ca.com.p12 -srcstoretype PKCS12 -srcstorepass [email protected] -destkeystore sa01-i185.ca.com.jks -deststorepass [email protected] -alias sa01-i185.ca.com
O comando usa as seguintes opções:
  • -srckeystore
    Especifica o local em que o arquivo de certificado autoassinado ou aprovado pela CA está disponível.
  • -srcstoretype
    Especifica o tipo de origem.
  • -srcstorepass
    Especifica a senha associada ao arquivo de certificado de origem.
  • -destkeystore
    Especifica o local em que deseja salvar o arquivo .jks criado quando o comando é executado com êxito.
  • -deststorepass
    Especifica a senha para o arquivo .jks.
  • -alias
    Especifica o nome do alias, que é nesse caso o nome do servidor de banco de dados (FQDN).
  • O nome do certificado e o nome do servidor de banco de dados devem ser FQDN.
  • Antes de implantar a versão 3.4 do CABI externo em um robô secundário, copie o arquivo do repositório de chaves Java (truststore.jks) do UIM Server (<Nimsoft>\security) no robô secundário do CABI externo (<Nimsoft>\security).
Instalar o UIM Server
Depois de executar todas as tarefas listadas nesta seção, verifique as outras tarefas de planejamento da pré-instalação. Você pode iniciar a instalação do UIM Server. Durante a instalação, certifique-se de ativar a opção TLS v1.2 e fornecer as informações necessárias.O programa de instalação do UIM Server instala automaticamente o driver necessário (SQLNCLI11) no computador durante a instalação. Além disso, para o arquivo .jks, procure o local em que você criou o arquivo .jks. O programa de instalação copia esse arquivo na pasta
<Nimsoft>\security
como truststore.jks.
Para obter mais informações sobre a instalação do UIM Server, consulte Instalar o UIM Server e Parâmetros de instalação. A seguinte captura de tela mostra as opções do TLS v1.2 (
Ativar TLS
,
Caminho do Truststore
e
Senha do TrustStore
) durante a instalação do UIM Server:
TLS options in installer.jpg
As opções relacionadas ao TLS v1.2 são as seguintes:
  • Ativar TLS:
    selecione a opção para ativar o TLS v1.2 no CA UIM, que permite ao UIM Server estabelecer uma comunicação segura com o banco de dados do UIM (Microsoft SQL Server nesse caos).
  • Caminho do Truststore:
    especifique o local do arquivo .jks gerado. O programa de instalação do UIM Server copia o arquivo .jks do local especificado e o coloca na pasta
    <Nimsoft>\security
    durante a instalação. O programa de instalação, em seguida, renomeia o arquivo copiado como
    truststore.jks
    . Esse arquivo inclui o certificado do servidor de banco de dados.
  • Senha do TrustStore:
    especifique a senha para acessar o arquivo de origem .jks.
Você ativou com êxito o suporte ao TLS v1.2, que permite a comunicação segura com o banco de dados do UIM (Microsoft SQL Server).
Informações adicionais
Revise as seguintes informações adicionais:
  • Em cenários de atualização e em situações em que você deseja ativar o suporte ao TLS v1.2 após a instalação do UIM Server, execute as seguintes tarefas no UIM Server:
    1. Verifique e instale o driver exigido (SQLNCLI11), se necessário.
      Para obter mais informações, siga as informações na seção "Download de componente de cliente" do artigo Suporte a TLS 1.2 para o Microsoft SQL Server.
    2. Importe o certificado do servidor como um certificado confiável.
    3. Crie o Java KeyStore.
    4. Use o Console de administração ou o Gerenciador de infraestrutura do data_engine para configurar os parâmetros relacionados ao TLS v1.2. Ao especificar o local do arquivo .jks, procure o local em que você criou o arquivo .jks. Quando você clica em
      Aplicar
      ou
      OK
      , o arquivo .jks é copiado na pasta
      <Nimsoft>\security
      como truststore.jks. Este local é, em seguida, exibido no campo
      Trust Store File (.jks)
      .Quando você clica na opção
      Testar conexão
      , o CA UIM não verifica a validade do arquivo .jks especificado. Em vez disso, ele verifica a validade do certificado que foi importado para o MMC (Console de Gerenciamento Microsoft) no UIM Server.
      Depois de especificar as opções, reinicie o probe data_engine. O probe data_engine está configurado com êxito para oferecer suporte ao TLS v1.2. Agora, é possível implantar outros probes e usar a comunicação segura ao interagir com o banco de dados do UIM (Microsoft SQL Server). Revise também a lista de pacotes e probes afetados. Esses itens foram atualizados para oferecer suporte ao TLS v1.2. Certifique-se de usar a versão mais recente desses itens se desejar que eles trabalhem no ambiente do TLS v1.2.
      Certifique-se de que a versão do probe ppm seja a 3.48 ou posterior e de que a versão do robô seja a 7.96 ou posterior para exibir as opções de configuração do TLS v1.2 no Console de administração. Caso contrário, as opções do TLS v1.2 não são exibidas no Console de administração.
      A seguinte captura de tela mostra as opções de configuração do TLS v1.2 (
      Ativar TLS
      ,
      Trust Store File (.jks)
      ,
      Senha de Truststore
      ,
      Always Trust Server Certificate
      ) no Console de administração:
      SQL_Server_AC_TLS_Options.jpg
  • Em cenários de atualização, o sistema do CA UIM pode ser ativado ou desativado para TLS v1.2 para todos os componentes; ele não pode ser um sistema parcialmente ativado para TLS v1.2. Ou seja, todos os componentes da infraestrutura entre as camadas (por exemplo, hub principal, hub secundário, probes) devem ser atualizados para a versão suportada pelo TLS v1.2.
  • Você pode ativar ou desativar o modo TLS v1.2 configurando a interface do usuário do data_engine.Além disso, é necessário reiniciar o data_engine sempre que o modo TLS v1.2 é alterado.
  • Se você atualizar de uma versão anterior do CA UIM para essa versão, o estado do sistema permanecerá no modo não TLS v1.2. Para ativar o modo TLS v1.2, execute todas as etapas manuais necessárias que são mencionadas acima e use a interface do usuário do data_engine para ativar o TLS v1.2.
  • Quando desejar atualizar um certificado (por exemplo, um certificado mais antigo que expirou), crie um novo arquivo .jks e especifique o local desse arquivo, bem como a sua senha na interface do usuário do data_engine. O probe data_engine usa essas informações para criar o arquivo truststore.jks na mesma pasta
    <Nimsoft>\security
    .
  • Para executar os probes que podem trabalhar em computadores remotos (que não sejam o hub principal) no ambiente do TLS v1.2, instale o driver necessário (SQLNCLI11) nos computadores remotos. Para obter mais informações, siga as informações na seção "Download de componente de cliente" do artigo Suporte a TLS 1.2 para o Microsoft SQL Server.
  • Se você encontrar algum problema de conectividade com o banco de dados em um ambiente ativado para TLS v1.2, o motivo mais provável é que o seu certificado não esteja usando FQDN.
Probes e pacotes atualizados para o TLS v1.2
Foram feitas atualizações relacionadas ao TLS v1.2 para os itens a seguir, de modo que eles possam funcionar em um ambiente do TLS v1.2. Essas são as versões mínimas com as atualizações relacionadas ao TLS v1.2.
  • ace 9.03
  • alarm_routing_service 10.20
  • apmgtw 3.20
  • audit 9.03
  • axagateway 1.32
  • cisco_ucm 2.00
  • cm_data_import 9.02
  • data_engine 9.02
  • discovery_agent 9.02
  • discovery_server 9.02
  • ems 10.20
  • hub 7.96
  • maintenance_mode 9.02
  • mon_config_service 9.02
  • mpse 9.03
  • nas 9.03
  • nis_server 9.03
  • qos_processor 9.02
  • robot 7.96
  • sla_engine 9.02
  • telemetry 1.20
  • trellis 9.02
  • udm_manager 9.02
  • usage_metering 9.11
  • wasp 9.02
  • webservices_rest 9.02
Solução de problemas
Os tópicos a seguir ajudam a solucionar alguns problemas relacionados ao TLS v1.2:
Falha ao iniciar o data_engine quando o TLS v1.2 está ativado
Sintoma:
ao tentar iniciar o data_engine depois de ativar o modo do TLS v1.2, recebo o seguinte erro de conexão:
May 1 10:10:21:897 [4068] 0 de: [main] Open - 3 errors
May 1 10:10:21:897 [4068] 0 de: (1) Open [Microsoft SQL Server Native Client 11.0] Invalid connection string attribute
May 1 10:10:21:897 [4068] 0 de: (2) Open [Microsoft SQL Server Native Client 11.0] SSL Provider: The target principal name is incorrect.
May 1 10:10:21:897 [4068] 0 de: (3) Open [Microsoft SQL Server Native Client 11.0] Client unable to establish connection
May 1 10:10:21:897 [4068] 0 de: COM Error [0x80004005] Unspecified error - [Microsoft SQL Server Native Client 11.0] Invalid connection string attribute
May 1 10:10:21:897 [4068] 1 de: Database script - processing 3 database scripts
Como posso resolver esse problema?
Solução:
a fonte de dados usa o FQDN para estabelecer conexão com o servidor de banco de dados na configuração do data_engine, mas seu certificado não é criado com FQDN. Em tais cenários, há falha na validação do certificado.Certifique-se de que o nome do servidor de banco de dados e o certificado use FQDN.
Falha na validação do certificado SSL autoassinado para o Microsoft SQL Server
Sintoma:
usei o certificado autoassinado do repositório de chaves local, mas recebi o seguinte erro:
2018-04-30 15:12:15,379 ERROR
dbconfig.UIMServerDatabaseConfigBaseParamsPanel:processTestDBAccess:152 [AWT-EventQueue-0] -
Failed to connect to database server with provided field values. Recheck fields for accuracy.
The driver could not establish a secure connection to SQL Server by using Secure Sockets Layer
(SSL) encryption. Error: "java.security.cert.CertificateException: Failed to validate the server
name in a certificate during Secure Sockets Layer (SSL) initialization.".
ClientConnectionId:89ef826a-2460-4faa-a1a8-d8aba2fc28f2 (501) , Failed to connect to database
server with provided field values. Recheck fields for accuracy.
Como posso resolver esse problema?
Solução:
esse problema é o mesmo que o descrito no primeiro tópico de solução de problemas "data_engine Fails to Start When TLS v1.2 is Enabled". Portanto, siga a mesma solução, garantindo que o nome do servidor de banco de dados e o certificado usem FQDN.