Compartilhar via


Erro "O cliente não consegue estabelecer conexão" após a implementação das políticas do pacote de criptografia em um computador do SQL Server

Este artigo ajuda você a resolver problemas que ocorrem após a implementação de políticas de pacote de criptografia em um servidor. Se os conjuntos de criptografia com suporte em um cliente e servidor não corresponderem, a conexão poderá falhar.

Sintomas

Depois de implementar políticas de pacote de criptografia em um servidor, você recebe a seguinte mensagem de erro:

uma conexão existente foi fechada forçadamente pelo host remoto. [SQLSTATE 42000] (Erro 10054) O provedor OLE DB "" para o servidor vinculado "nome do banco de dados" retornou a mensagem "O cliente não pôde estabelecer a conexão".

Causa 1: Rivest Cipher 4 (RC4) não está incluído

Se um conjunto de criptografia não incluir Rivest Cipher 4 (RC4), qualquer tentativa de usar RC4 para criptografia falhará. Da mesma forma, se um conjunto de cifras incluir RC4, mas uma das partes envolvidas não, o handshake falhará e nenhuma conexão será estabelecida.

Solução

Siga estas etapas:

  1. Verifique se a msds-supportedEncryptionType propriedade está definida. Se a propriedade não estiver definida, somente RC4 será habilitado.
  2. Defina o valor dessa propriedade como 28 para habilitar RC4, AES128 e AES256.

Causa 2: incompatibilidade nas versões do TLS (Transport Layer Security)

Há uma incompatibilidade nas versões do Transport Layer Security (TLS). Esse problema pode ocorrer se o cliente iniciar a conexão usando o TLS 1.0. Os pacotes de criptografia modernos geralmente não dão suporte ao TLS 1.0 porque preferem versões mais seguras, como o TLS 1.2.

Solução

Siga estas etapas:

  1. Verifique se o driver cliente dá suporte ao TLS 1.2. Caso contrário, atualize o driver.

  2. Adicione as seguintes cifras à política local para dar suporte à comunicação TLS 1.0:

    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
    • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

Confira também

Uma conexão existente foi fechada à força pelo host remoto (erro do sistema operacional 10054)