Click here to view and discuss this page in DocCommentXchange. In the future, you will be sent there automatically.

SQL Anywhere 11.0.1 (日本語) » SQL Anywhere サーバ - データベース管理 » データベースの起動とデータベースへの接続 » データベース・サーバ » データベース・サーバ・オプション

 

-ec サーバ・オプション

トランスポート・レイヤ・セキュリティまたは暗号化を使用して、すべてのクライアントとの間で転送される SQL Anywhere のすべてのネイティブ・パケット (DBLib、ODBC、OLE DB) を暗号化します。TDS パケットは暗号化されません。

構文
{ dbsrv11 | dbeng11 } -ec encryption-options ...
encryption-options :
{ NONE | 
   SIMPLE | 
   TLS ( TLS_TYPE=cipher;
   [ FIPS={ Y | N }; ]
   IDENTITY=server-identity-filename;
   IDENTITY_PASSWORD=password ) }, ...
適用対象

NONE と SIMPLE は、すべてのサーバとオペレーティング・システムに適用されます。

TLS は、すべてのサーバとオペレーティング・システムに適用されます (Windows Mobile を除く)。

FIPS サポートの詳細については、[external link] http://www.ianywhere.jp/sas/os.html を参照してください。

備考

このオプションは、トランスポート・レイヤ・セキュリティを使用してクライアント・アプリケーションとデータベース・サーバ間の通信パケットを安全化する場合に使用します。トランスポート・レイヤ・セキュリティを参照してください。

別途ライセンスが必要な必須コンポーネント

ECC 暗号化と FIPS 認定の暗号化には、別途ライセンスが必要です。強力な暗号化テクノロジはすべて、輸出規制対象品目です。

別途ライセンスが必要なコンポーネントを参照してください。

-ec オプションを指定すると、データベース・サーバは指定された暗号化タイプによって暗号化される接続のみ受け入れます。TDS プロトコルを介した接続は、jConnect を使用する Java アプリケーションを含みますが、-ec オプションの使用に関係なく常に受け入れられ、暗号化されることはありません。この TDS プロトコル・オプションを NO に設定すると、これらの暗号化されていない TDS 接続は禁止されます。TDS プロトコル・オプションを参照してください。

デフォルトでは、通信パケットは暗号化されないため、セキュリティに潜在的なリスクがあります。ネットワーク・パケットのセキュリティが心配な場合は、-ec オプションを使用します。暗号化がパフォーマンスに及ぼす影響はごくわずかです。-ec オプションはサーバの暗号化設定を制御します。次のパラメータの 1 つ以上をカンマで区切ったリストで指定してください。

  • NONE   暗号化されない接続を受け入れます。

  • SIMPLE   単純暗号化された接続を受け入れます。このタイプの暗号化は、すべてのプラットフォームで、また以前のバージョンの SQL Anywhere でサポートされます。単純暗号化では、サーバ認証、強力な楕円曲線暗号化、RSA 暗号化、その他のトランスポート・レイヤ・セキュリティ機能は提供されません。

  • TLS   暗号化される接続を受け入れます。TLS パラメータに指定できる必須の引数は次のとおりです。

    • cipher   RSA 暗号化の場合は RSA を指定し、ECC 暗号化の場合は ECC を指定します。FIPS 認定の RSA 暗号化の場合は、TLS_TYPE=RSA;FIPS=Y を指定します。RSA FIPS は別の認定ライブラリを使用しますが、SQL Anywhere 9.0.2 以降で RSA を指定しているクライアントと互換性があります。

      FIPS がサポートされているプラットフォームのリストについては、[external link] http://www.ianywhere.jp/sas/os.html を参照してください。

      cipher は、証明書を作成するときに使用される暗号化 (ECC または RSA) と一致する必要があります。

      FIPS 認定のアルゴリズムの実行については、-fips サーバ・オプションを参照してください。

      注意

      バージョン 10 以降のクライアントでは、ECC アルゴリズムを使用してバージョン 9.0.2 以前のデータベース・サーバに接続することはできません。この構成で強力な暗号化が必要な場合は、RSA アルゴリズムを使用してください。

    • server-identity-filename   サーバ ID 証明書のパスとファイル名を指定します。FIPS 認定の RSA 暗号化を使用している場合は、RSA 暗号化を使用して証明書を生成する必要があります。

      サーバ証明書の作成については、デジタル証明書の作成を参照してください。サーバ証明書は、自己署名証明書、または認証局やエンタープライズ・ルート証明書の署名を受けた証明書のいずれかです。

    • password   サーバのプライベート・キーのパスワードを指定します。このパスワードは、サーバ証明書を作成するときに指定します。

データベース・サーバが単純暗号化を受け入れ、暗号化されない接続を受け入れない場合、暗号化を使用しない TDS 接続以外の接続では、単純暗号化が使用されます。

-ec SIMPLE を指定してデータベース・サーバを起動すると、データベース・サーバは単純暗号化を使用した接続だけを受け入れます。TLS 接続 (ECC、RSA、RSA FIPS) は失敗し、暗号化を要求しない接続では単純暗号化が使用されます。

-ec SIMPLE,TLS(TLS_TYPE=ECC) を指定してデータベース・サーバを起動すると、データベース・サーバは ECC 暗号化または単純暗号化を使用する接続だけを受け入れます。RSA 接続と RSA FIPS 接続はいずれも失敗し、暗号化を要求しない接続では単純暗号化が使用されます。

データベース・サーバで TCP/IP 上の暗号化された接続を受け入れ、さらに共有メモリを介してローカル・コンピュータのデータベースへも接続できるようにする場合は、データベース・サーバの起動時に -ec オプションとともに -es オプションを指定します。-es サーバ・オプションを参照してください。

dbecc11.dll ファイルと dbrsa11.dll ファイルには、暗号化と復号化に使用される ECC コードと RSA コードが保存されています。dbfips11.dll ファイルには、FIPS 認定の RSA アルゴリズムのコードが含まれています。データベース・サーバに接続するときに、適切なファイルが見つからなかったり、エラーが発生したりすると、データベース・サーバ・メッセージ・ウィンドウにメッセージが表示されます。指定されたタイプの暗号化を開始できない場合、サーバは起動しません。

クライアントとサーバで暗号化の設定が一致していることが必要です。設定が異なっていると、次の場合を除き、接続は失敗します。

  • データベース・サーバに対して -ec SIMPLE を指定し、-ec NONE を指定しなかった場合、暗号化を要求しない接続は許可され、自動的に単純暗号化が使用されます。

  • データベース・サーバ側で RSA を指定し、クライアント側で FIPS を指定している場合、またはその逆の場合には、接続は成功します。この場合、Encryption 接続プロパティはデータベース・サーバ側で指定された値を返します。

参照

次の例は、暗号化されない接続と単純暗号化を使用する接続を許可します。

dbsrv11 -ec NONE,SIMPLE -x tcpip c:\mydemo.db

次の例は、楕円曲線サーバ証明書 eccserver.id を使用するデータベース・サーバを起動します。

dbsrv11 -ec TLS(TLS_TYPE=ECC;IDENTITY=eccserver.id;IDENTITY_PASSWORD=test) -x tcpip c:\mydemo.db

次の例は、RSA サーバ証明書 rsaserver.id を使用するデータベース・サーバを起動します。

dbsrv11 -ec TLS(TLS_TYPE=RSA;IDENTITY=rsaserver.id;IDENTITY_PASSWORD=test) -x tcpip c:\mydemo.db

次の例は、FIPS 認定の RSA サーバ証明書 rsaserver.id を使用するデータベース・サーバを起動します。

dbsrv11 -ec TLS(TLS_TYPE=RSA;FIPS=Y;IDENTITY=rsaserver.id;IDENTITY_PASSWORD=test) -x tcpip c:\mydemo.db