Click here to view and discuss this page in DocCommentXchange. In the future, you will be sent there automatically.

SQL Anywhere 11.0.1 (Deutsch) » SQL Anywhere Server - Datenbankadministration » Datenbank starten und Verbindung mit ihr herstellen » Der Datenbankserver » Datenbankserveroptionen

 

Serveroption -ec

Verwendet Transportschichtsicherheit oder die einfache Verschlüsselung, um alle nativen SQL Anywhere-Pakete (DBLib, ODBC und OLE DB) zu verschlüsseln, die von allen und an alle Clients übertragen werden. TDS-Pakete werden nicht verschlüsselt.

Syntax
{ dbsrv11 | dbeng11 } -ec Verschlüsselungsoptionen ...
Verschlüsselungsoptionen:
{ NONE | 
   SIMPLE | 
   TLS ( TLS_TYPE=Chiffre;
   [ FIPS={ Y | N }; ]
   IDENTITY=Serveridentitätsdateiname;
   IDENTITY_PASSWORD=Kennwort ) }, ...
Gilt für

NONE und SIMPLE gelten für alle Server und Betriebssysteme.

TLS gilt für alle Server und Betriebssysteme, ausgenommen Windows Mobile.

Hinweise zur FIPS-Unterstützung finden Sie unter [external link] http://www.sybase.com/detail?id=1062625.

Bemerkungen

Sie können diese Option verwenden, um sichere Kommunikationspakete zwischen Clientanwendungen und dem Datenbankserver mithilfe von Transportschichtsicherheit zu erhalten. Weitere Hinweise finden Sie unter Transportschichtsicherheit.

Erforderliche getrennt lizenzierbare Komponenten

ECC-Verschlüsselungen und FIPS-zertifizierte Verschlüsselungen erfordern eine getrennte Lizenz. Alle Technologien für starke Verschlüsselungen unterliegen Exportbestimmungen.

Weitere Hinweise finden Sie unter Getrennt lizenzierbare Komponenten.

Der Parameter -ec weist den Datenbankserver an, Verbindungen nur zu akzeptieren, die mit einer der angegebenen Chiffriermethoden verschlüsselt wurden. Verbindungen über das TDS-Protokoll, das Java-Anwendungen einbezieht, die jConnect verwenden, werden unabhängig von der Einstellung der Option -ec immer angenommen und niemals verschlüsselt. Das Einstellen des TDS-Protokolloption auf NO verbietet solche unverschlüsselten TDS-Verbindungen. Weitere Hinweise finden Sie unter TDS-Protokolloption.

Standardmäßig werden Kommunikationspakete nicht verschlüsselt und stellen so ein Sicherheitsrisiko dar. Wenn die Sicherheit der Netzwerkpakete von Bedeutung ist, verwenden Sie den Parameter -ec. Verschlüsselung beeinträchtigt die Performance nur geringfügig. Die Option -ec steuert die Verschlüsselungseinstellungen des Servers und benötigt zumindest einen der folgenden Parameter in einer durch Kommas getrennten Liste:

  • NONE   Hierbei werden nicht verschlüsselte Verbindungen angenommen.

  • SIMPLE   Hierbei werden Verbindungen angenommen, die gemäß der einfachen Verschlüsselung chiffriert wurden. Die einfache Verschlüsselung wird auf allen Plattformen unterstützt, wie auch bei früheren Versionen von SQL Anywhere. Die einfache Verschlüsselung verwendet keine Serverauthentifizierung, starke Ellipsenkurven- bzw. RSA-Verschlüsselung oder andere Funktionen der Transportschichtsicherheit.

  • TLS   Hierbei werden verschlüsselte Verbindungen angenommen. Der TLS-Parameter akzeptiert die folgenden erforderlichen Argumente:

    • Chiffre   Verwenden Sie hier RSA oder ECC für eine RSA- bzw. ECC-Verschlüsselung. Für eine FIPS-geprüfte RSA-Verschlüsselung geben Sie TLS_TYPE=RSA;FIPS=Y an. RSA FIPS verwendet eine separate bestätigte Bibliothek, ist aber mit Clients kompatibel, die RSA mit SQL Anywhere 9.0.2 oder höher angeben.

      Eine Liste der unterstützten Plattformen für FIPS finden Sie unter [external link] http://www.sybase.com/detail?id=1062625.

      Die Chiffre muss mit der bei Erstellung Ihrer Zertifikate verwendeten Verschlüsselung (ECC oder RSA) übereinstimmen.

      Hinweise zum Erzwingen des FIPS-geprüften Algorithmus finden Sie unter Serveroption -fips.

      Hinweis

      Clients ab Version 10 können sich nicht mit Datenbankservern der Version 9.0.2 oder früher unter Verwendung des ECC-Algorithmus verbinden. Wenn Sie bei dieser Konfiguration eine starke Verschlüsselung benötigen, verwenden Sie den RSA-Algorhitmus.

    • Serveridentitätsdateiname   Geben Sie den Pfad und den Dateinamen des Serveridentitätszertifikats ein. Wenn Sie RSA-Verschlüsselung mit FIPS-Bestätigung verwenden, müssen Sie Ihr Zertifikat mit der RSA-Chiffre generieren.

      Weitere Hinweise zum Erstellen von Serverzertifikaten, ob selbstsigniert oder durch eine Zertifizierungsstelle bzw. ein Unternehmensstammzertifikat signiert, finden Sie unter Digitale Zertifikate erstellen.

    • Kennwort   Hierbei handelt es sich um das Kennwort für den privaten Schlüssel des Servers. Sie geben dieses Kennwort beim Erstellen des Serverzertifikats an.

Wenn der Datenbankserver einfache Verschlüsselung akzeptiert, aber keine unverschlüsselten Verbindungen annimmt, verwendet jede Nicht-TDS-Verbindung, die versucht, keine Verschlüsselung anzuwenden, automatisch einfache Verschlüsselung.

Ein Starten des Datenbankservers mit -ec SIMPLE teilt dem Datenbankserver mit, nur Verbindungen zu akzeptieren, die einfache Verschlüsselung verwenden. TLS-Verbindungen (ECC, RSA und RSA FIPS) schlagen fehl und Verbindungen, die keine Verschlüsselung anfordern, verwenden einfache Verschlüsselung.

Ein Starten des Servers mit -ec SIMPLE,TLS(TLS_TYPE=ECC) teilt dem Datenbankserver mit, nur Verbindungen mit ECC-Verschlüsselung oder mit einfacher Verschlüsselung zu akzeptieren. RSA- und RSA FIPS-Verbindungen schlagen fehl und Verbindungen, die keine Verschlüsselung anfordern, verwenden einfache Verschlüsselung.

Wenn der Datenbankserver verschlüsselte Verbindungen über TCP/IP akzeptieren soll, Sie aber auch eine Verbindung zur Datenbank über gemeinsam genutzten Speicher auf dem lokalen Computer zulassen wollen, können Sie beim Start des Datenbankservers die -es-Option mit der -ec-Option angeben. Weitere Hinweise finden Sie unter Serveroption -es.

Die Dateien dbecc11.dll und dbrsa11.dll enthalten den ECC- und RSA-Code, der für Ver- und Entschlüsselung verwendet wird. Die Datei dbfips11.dll enthält den Code für den FIPS-bestäigten RSA-Algorithmus. Wenn Sie eine Verbindung zum Datenbankserver herstellen und die passende Datei unauffindbar bzw. ein Fehler aufgetreten ist, erscheint eine Meldung im Meldungsfenster des Datenbankservers. Der Server startet nicht, wenn die angegebenen Verschlüsselungstypen nicht initialisiert werden können.

Wenn die Verschlüsselungseinstellungen von Client und Server nicht übereinstimmen, schlägt die Verbindung fehl, außer in folgenden Fällen:

  • Wenn "-ec SIMPLE", aber nicht "-ec NONE" auf dem Datenbankserver angegeben ist, können Verbindungen, die keine Verschlüsselung erfordern, hergestellt werden, wobei automatisch eine einfache Verschlüsselung verwendet wird.

  • Wenn der Datenbankserver RSA und der Client FIPS (bzw. umgekehrt) angeben, ist die Verbindung erfolgreich. In diesem Fall gibt die Encryption-Verbindungseigenschaft den vom Datenbankserver angegebenen Wert zurück.

Siehe auch
Beispiel

Das folgende Beispiel gibt an, dass Verbindungen ohne Verschlüsselung bzw. mit einfacher Verschlüsselung zulässig sind.

dbsrv11 -ec NONE,SIMPLE -x tcpip c:\mydemo.db

Das folgende Beispiel startet einen Datenbankserver, der das Ellipsenkurven-Serverzertifikat eccserver.id verwendet.

dbsrv11 -ec TLS(TLS_TYPE=ECC;IDENTITY=eccserver.id;IDENTITY_PASSWORD=test) -x tcpip c:\mydemo.db

Das folgende Beispiel startet einen Datenbankserver, der das RSA-Serverzertifikat rsaserver.id verwendet.

dbsrv11 -ec TLS(TLS_TYPE=RSA;IDENTITY=rsaserver.id;IDENTITY_PASSWORD=test) -x tcpip c:\mydemo.db

Das folgende Beispiel startet einen Datenbankserver, der das FIPS-genehmigte RSA-Serverzertifikat rsaserver.id verwendet.

dbsrv11 -ec TLS(TLS_TYPE=RSA;FIPS=Y;IDENTITY=rsaserver.id;IDENTITY_PASSWORD=test) -x tcpip c:\mydemo.db