Click here to view and discuss this page in DocCommentXchange. In the future, you will be sent there automatically.

SQL Anywhere 11.0.1 (日本語) » SQL Anywhere サーバ - データベース管理 » セキュリティ » トランスポート・レイヤ・セキュリティ » SQL Anywhere クライアント/サーバ通信の暗号化

 

トランスポート・レイヤ・セキュリティを使用するデータベース・サーバの起動

トランスポート・レイヤ・セキュリティを使用してデータベース・サーバを起動するには、サーバ ID ファイル名と、サーバのプライベート・キーを保護するパスワードを指定します。

トランスポート・レイヤ・セキュリティを設定する手順の概要については、トランスポート・レイヤ・セキュリティの設定を参照してください。

-ec データベース・サーバ・オプションを使用して、identity パラメータと identity_password パラメータを指定します。共有メモリを経由した暗号化されていない接続を許可する場合は、-es オプションも指定する必要があります。

dbsrv11 コマンド・ラインの一部の構文を次に示します。

-ec tls(
   tls_type=cipher;
   identity=server-identity-filename;
   identity_password=password )
-x tcpip
  • cipher   使用する暗号化です。RSA 暗号化の場合は rsa を指定し、ECC 暗号化の場合は ecc を指定します。FIPS 認定の RSA 暗号化の場合は、tls_type=rsa;fips=y を指定します。RSA FIPS は別の認定ライブラリを使用しますが、SQL Anywhere 9.0.2 以降で RSA を使用しているクライアントと互換性があります。

    FIPS がサポートされているプラットフォームのリストについては、[external link] http://www.ianywhere.jp/sas/os.html を参照してください。

    cipher は、証明書を作成するときに使用される暗号化 (ECC または RSA) と一致する必要があります。

    FIPS 認定のアルゴリズムの実行については、-fips サーバ・オプションを参照してください。

  • server-identity-filename   サーバ ID ファイルのパスとファイル名を指定します。FIPS 認定の RSA 暗号化を使用している場合は、RSA 暗号化を使用して証明書を生成する必要があります。ID ファイルには、パブリック証明書とプライベート・キーが格納されています。自己署名されていない証明書の場合は、その証明書に署名を行うすべての証明書も ID ファイルに格納されています。

    サーバ証明書の作成については、デジタル証明書の作成を参照してください。サーバ証明書は、自己署名証明書、または認証局やエンタープライズ・ルート証明書の署名を受けた証明書のいずれかです。

  • password   サーバのプライベート・キーのパスワードを指定します。このパスワードは、サーバ証明書を作成するときに指定します。

単純暗号化を使用してデータベース・サーバを起動することもできます。単純暗号化を使用すると、パケット・スニッファを使用して、クライアントとサーバの間で送信されるネットワーク・パケットを読み取るのが困難になります。ただし、データの整合性は保証されず、サーバ認証を行うこともできません。

-ec サーバ・オプション-es サーバ・オプションを参照してください。

TCP/IP プロトコルは、-x データベース・サーバ・オプションを使用して指定します。-x サーバ・オプションを参照してください。

次の例 (すべて 1 行に入力) では、-ec データベース・サーバ・オプションを使用して、ECC セキュリティ、サーバ ID ファイル、サーバのプライベート・キーを保護するパスワードを指定します。

dbsrv11 -ec tls( tls_type=ecc;identity=c:\test\serv1_ecc.id;identity_password=mypwd )
 -x tcpip c:\test\secure.db

設定ファイルとファイル難読化ユーティリティ (dbfhide) を使用して、パスワードを含むコマンド・ライン・オプションを非表示にできます。ファイル難読化ユーティリティ (dbfhide)@data サーバ・オプションを参照してください。