Click here to view and discuss this page in DocCommentXchange. In the future, you will be sent there automatically.

SQL Anywhere 11.0.1 (Deutsch) » SQL Anywhere Server - Datenbankadministration » Sicherheit » Transportschichtsicherheit » SQL Anywhere Client/Server-Kommunikation verschlüsseln

 

Datenbankserver mit Transportschichtsicherheit starten

Um den Datenbankserver mit Transportschichtsicherheit zu starten, geben Sie den Namen der Serveridentitätsdatei und das Kennwort, mit dem der private Schlüssel des Servers geschützt ist, an.

Eine Übersicht über die notwendigen Schritte zum Einrichten der Transportschichtsicherheit finden Sie unter Transportschichtsicherheit einrichten.

Benutzen Sie die Datenbankserveroption -ec, um die Parameter identity und identity_password anzugeben. Wenn Sie auch unverschlüsselte Verbindungen über Shared Memory erlauben möchten, geben Sie auch die -es-Option an.

Folgendes ist die Syntax einer partiellen dbsrv11-Befehlszeile:

-ec tls(
   tls_type=Chiffre;
   identity=Serveridentitätsdateiname;
   identity_password=Kennwort )
-x tcpip
  • Chiffre   Der zu verwendende Chiffriercode. Der Chiffriercode kann rsa oder ecc für eine RSA- bzw. ECC-Verschlüsselung sein. Für eine FIPS-geprüfte RSA-Verschlüsselung geben Sie tls_type=rsa;fips=y an. RSA FIPS verwendet eine separate bestätigte Bibliothek, ist aber mit SQL Anywhere-Clients der Version 9.0.2 oder höher kompatibel, die RSA verwenden.

    Eine Liste der unterstützten Plattformen für FIPS finden Sie unter [external link] http://www.sybase.com/detail?id=1062625.

    Die Chiffre muss mit der bei Erstellung Ihrer Zertifikate verwendeten Verschlüsselung (ECC oder RSA) übereinstimmen.

    Hinweise zum Erzwingen des FIPS-geprüften Algorithmus finden Sie unter Serveroption -fips.

  • Serveridentitätsdateiname   Der Pfad und der Dateiname der Serveridentitätsdatei. Wenn Sie RSA-Verschlüsselung mit FIPS-Bestätigung verwenden, müssen Sie Ihr Zertifikat mit der RSA-Chiffre generieren.Eine Identitätsdatei enthält das öffentliche Zertifikat und seinen privaten Schlüssel. Für Zertifikate, die nicht selbst signiert sind, enthält die Identitätsdatei auch alle Signierzertifikate.

    Weitere Hinweise zum Erstellen von Serverzertifikaten, ob selbstsigniert oder durch eine Zertifizierungsstelle bzw. ein Unternehmensstammzertifikat signiert, finden Sie unter Digitale Zertifikate erstellen.

  • Kennwort   Das Kennwort für den privaten Schlüssel des Servers. Sie geben dieses Kennwort beim Erstellen des Serverzertifikats an.

Sie können den Datenbankserver auch mit einfacher Verschlüsselung starten. Die einfache Verschlüsselung erschwert es einem Eindringling, einen Datenpaketschnüffler einzusetzen, um die zwischen Client und Server transportieren Netzwerkpakete auszuspähen. Dabei wird aber weder die Datenintegrität noch eine Serverauthentifizierung garantiert.

Weitere Hinweise finden Sie unter Serveroption -ec und Serveroption -es.

Das TCP/IP-Protokoll wird mit der Datenbankserveroption -x angegeben. Weitere Hinweise finden Sie unter Serveroption -x.

Beispiel

Im folgenden Beispiel wird mit der Datenbankserveroption -ec (in einer einzigen Zeile eingegeben) der Sicherheitstyp ECC, die Serveridentitätsdatei und das Kennwort, das den privaten Schlüssel des Servers schützt, angegeben:

dbsrv11 -ec tls( tls_type=ecc;identity=c:\test\serv1_ecc.id;identity_password=mypwd )
 -x tcpip c:\test\secure.db

Sie können die Befehlszeilenoptionen, einschließlich Kennwörter, mit einer Konfigurationsdatei und dem Dienstprogramm zum Verschleiern von Dateien, dbfhide, ausblenden. Weitere Hinweise finden Sie unter Dienstprogramm zum Verschleiern von Dateien (dbfhide) und Serveroption @data.