Datenbankserver mit Transportschichtsicherheit starten

Um den Datenbankserver mit Transportschichtsicherheit zu starten, geben Sie den Namen der Serveridentitätsdatei und das Kennwort, mit dem der private Schlüssel des Servers geschützt ist, an.

Eine Übersicht über die notwendigen Schritte zum Einrichten der Transportschichtsicherheit finden Sie unter Transportschichtsicherheit einrichten.

Benutzen Sie die Datenbankserveroption -ec, um die Parameter identity und identity_password anzugeben. Wenn Sie auch unverschlüsselte Verbindungen über Shared Memory erlauben möchten, geben Sie auch die -es-Option an.

Folgendes ist die Syntax einer partiellen dbsrv12-Befehlszeile:

-ec tls(
   tls_type=Chiffre;
   identity=Serveridentitätsdateiname;
   identity_password=Kennwort )
-x tcpip

Chiffre Der zu verwendende Chiffriercode. Der Chiffriercode kann rsa oder ecc für eine RSA- bzw. ECC-Verschlüsselung sein. Für eine FIPS-geprüfte RSA-Verschlüsselung geben Sie tls_type=rsa;fips=y an. RSA FIPS verwendet eine separate bestätigte Bibliothek, ist aber mit SQL Anywhere-Clients der Version 9.0.2 oder höher kompatibel, die RSA verwenden.
Eine Liste der unterstützten Plattformen für FIPS finden Sie unter http://www.sybase.com/detail?id=1061806.

Die Chiffre muss mit der bei Erstellung Ihrer Zertifikate verwendeten Verschlüsselung (ECC oder RSA) übereinstimmen.

Hinweise zum Erzwingen des FIPS-geprüften Algorithmus finden Sie unter -fips - dbeng12/dbsrv12-Serveroption.
Serveridentitätsdateiname Der Pfad und der Dateiname der Serveridentitätsdatei. Wenn Sie RSA-Verschlüsselung mit FIPS-Bestätigung verwenden, müssen Sie Ihr Zertifikat mit der RSA-Chiffre generieren.
Eine Identitätsdatei enthält das öffentliche Zertifikat und seinen privaten Schlüssel. Für Zertifikate, die nicht selbst signiert sind, enthält die Identitätsdatei auch alle Signierzertifikate.

Weitere Hinweise zum Erstellen von Serverzertifikaten, ob selbstsigniert oder durch eine Zertifizierungsstelle bzw. ein Unternehmensstammzertifikat signiert, finden Sie unter Digitale Zertifikate erstellen.
Kennwort Das Kennwort für den privaten Schlüssel des Servers. Sie geben dieses Kennwort beim Erstellen des Serverzertifikats an.

Sie können den Datenbankserver auch mit einfacher Verschlüsselung starten. Die einfache Verschlüsselung erschwert es einem Eindringling, einen Datenpaketschnüffler einzusetzen, um die zwischen Client und Server transportieren Netzwerkpakete auszuspähen. Dabei wird aber weder die Datenintegrität noch eine Serverauthentifizierung garantiert.

Siehe --ec - dbeng12/dbsrv12-Serveroption und --es - dbeng12/dbsrv12-Serveroption.

Das TCP/IP-Protokoll wird mit der Datenbankserveroption -x angegeben. Siehe -x - dbeng12/dbsrv12-Serveroption.

Beispiel

Im folgenden Beispiel wird mit der Datenbankserveroption -ec (in einer einzigen Zeile eingegeben) der Sicherheitstyp ECC, die Serveridentitätsdatei und das Kennwort, das den privaten Schlüssel des Servers schützt, angegeben:

dbsrv12 -ec tls( tls_type=ecc;identity=c:\test\serv1_ecc.id;identity_password=mypwd )
 -x tcpip c:\test\secure.db

Sie können die Befehlszeilenoptionen, einschließlich Kennwörter, mit einer Konfigurationsdatei und dem Dienstprogramm zum Verschleiern von Dateien, dbfhide, ausblenden. Siehe Dienstprogramm zum Verschleiern von Dateien (dbfhide) und @data - dbeng12/dbsrv12-Serveroption.

Kommentieren Sie diese Seite in DocCommentXchange.