-ec - dbeng12/dbsrv12-Serveroption

{ dbeng12 | dbsrv12 } -ec encryption-options ...

encryption-options :

{ NONE |
   SIMPLE |
   TLS ( TLS_TYPE=algorithm;
   [ FIPS={ Y | N }; ]
   IDENTITY=server-identity-filename;
   IDENTITY_PASSWORD=password ) }, ...

NONE Hierbei werden nicht verschlüsselte Verbindungen angenommen.
SIMPLE Hierbei werden Verbindungen angenommen, die gemäß der einfachen Verschlüsselung chiffriert wurden. Dieser Verschlüsselungstyp wird auf allen Plattformen sowie von früheren Versionen des Datenbankservers und der Clients unterstützt. Die einfache Verschlüsselung verwendet keine Serverauthentifizierung, starke Ellipsenkurven- bzw. RSA-Verschlüsselung oder andere Funktionen der Transportschichtsicherheit.
TLS Hierbei werden verschlüsselte Verbindungen angenommen. Der TLS-Parameter akzeptiert die folgenden erforderlichen Argumente:
- algorithm Verwenden Sie hier RSA oder ECC für eine RSA- bzw. ECC-Verschlüsselung. Geben Sie bei FIPS-zertifizierter RSA-Verschlüsselung TLS_TYPE=RSA;FIPS=Y an. RSA FIPS-zertifizierte Verschlüsselung verwendet eine separate zertifizierte Bibliothek, ist aber auch kompatibel mit Clients der Version 9.0.2 oder höher, die RSA angeben.
  Eine Liste der FIPS-zertifizierten Komponenten finden Sie unter http://www.sybase.com/detail?id=1061806.
  
  Der Algorithmus: muss mit der beim Erstellen Ihrer Zertifikate verwendeten Verschlüsselung (ECC oder RSA) übereinstimmen.
  
  Hinweise zum Erzwingen des FIPS-zertifizierten Algorithmus finden Sie unter -fips - dbeng12/dbsrv12-Serveroption.
  
  Hinweis
  
  Clients ab Version 10 können sich nicht mit Datenbankservern der Version 9.0.2 oder früher unter Verwendung des ECC-Algorithmus verbinden. Wenn Sie bei dieser Konfiguration eine starke Verschlüsselung benötigen, verwenden Sie den RSA-Algorhitmus.
- server-identity-filename Geben Sie den Pfad und den Dateinamen des Serveridentitätszertifikats ein. Wenn Sie FIPS-zertifizierte RSA-Verschlüsselung verwenden, müssen Sie Ihre Zertifikate mit dem RSA-Algorithmus generieren.
  Weitere Hinweise zum Erstellen von Serverzertifikaten, ob selbstsigniert oder durch eine Zertifizierungsstelle bzw. ein Unternehmensstammzertifikat signiert, finden Sie unter Digitale Zertifikate.
- password Hierbei handelt es sich um das Kennwort für den privaten Schlüssel des Servers. Sie geben dieses Kennwort beim Erstellen des Serverzertifikats an.

NONE und SIMPLE gelten für alle Server und Betriebssysteme.

TLS gilt für alle Server und Betriebssysteme, ausgenommen Windows Mobile.

Weitere Hinweise zur Unterstützung für FIPS-zertifizierte Verschlüsselung finden Sie unter [external link] http://www.sybase.com/detail?id=1061806.

Sie können diese Option verwenden, um sichere Kommunikationspakete zwischen Clientanwendungen und dem Datenbankserver mithilfe von Transportschichtsicherheit zu erhalten. Siehe Transportschichtsicherheit.

Hinweis

Erforderliche getrennt lizenzierbare Komponenten.

ECC-Verschlüsselungen und FIPS-zertifizierte Verschlüsselungen erfordern eine getrennte Lizenz. Alle Technologien für starke Verschlüsselungen unterliegen Exportbestimmungen.

Siehe Getrennt lizenzierbare Komponenten.

Der Parameter -ec weist den Datenbankserver an, Verbindungen nur zu akzeptieren, die mit einer der angegebenen Chiffriermethoden verschlüsselt wurden. Sie müssen mindestens einen der unterstützten Parameter in einer durch Kommas getrennten Liste angeben. Verbindungen über das TDS-Protokoll, wie etwa Java-Anwendungen, die jConnect verwenden, werden immer zugelassen und nie verschlüsselt, unabhängig von der Verwendung der Option -ec. Das Einstellen des TDS-Protokolloption auf NO verbietet solche unverschlüsselten TDS-Verbindungen. Siehe TDS-Protokolloption (nur serverseitig).

Standardmäßig werden Kommunikationspakete nicht verschlüsselt und stellen so ein Sicherheitsrisiko dar. Wenn die Sicherheit der Netzwerkpakete von Bedeutung ist, verwenden Sie den Parameter -ec. Verschlüsselung beeinträchtigt die Performance nur geringfügig.

Wenn der Datenbankserver einfache Verschlüsselung akzeptiert, aber keine unverschlüsselten Verbindungen annimmt, verwendet jede Nicht-TDS-Verbindung, die versucht, keine Verschlüsselung anzuwenden, automatisch einfache Verschlüsselung.

Ein Starten des Datenbankservers mit -ec SIMPLE teilt dem Datenbankserver mit, nur Verbindungen zu akzeptieren, die einfache Verschlüsselung verwenden. TLS-Verbindungen (ECC-, RSA- und RSA FIPS-zertifizierte Verschlüsselung) schlagen fehl und Verbindungen, die keine Verschlüsselung anfordern, verwenden einfache Verschlüsselung.

Ein Starten des Servers mit -ec SIMPLE,TLS(TLS_TYPE=ECC) teilt dem Datenbankserver mit, nur Verbindungen mit ECC-Verschlüsselung oder mit einfacher Verschlüsselung zu akzeptieren. Verbindungen mit aktivierter RSA- oder RSA FIPS-zertifizierter Verschlüsselung schlagen fehl und Verbindungen, die keine Verschlüsselung anfordern, verwenden einfache Verschlüsselung.

Wenn der Datenbankserver verschlüsselte Verbindungen über TCP/IP akzeptieren soll, Sie aber auch eine Verbindung zur Datenbank über gemeinsam genutzten Speicher auf dem lokalen Computer zulassen möchten, können Sie beim Start des Datenbankservers die Option -es mit der Option -ec angeben. Siehe -es - dbeng12/dbsrv12-Serveroption.

Die Dateien dbecc12.dll und dbrsa12.dll enthalten den ECC- und RSA-Code, der für die Ver- und Entschlüsselung verwendet wird. Die Datei dbfips12.dll enthält den Code für den FIPS-zertifizierten RSA-Algorithmus. Wenn Sie eine Verbindung zum Datenbankserver herstellen und die passende Datei unauffindbar bzw. ein Fehler aufgetreten ist, wird im Meldungsfenster des Datenbankservers eine Meldung angezeigt. Der Server startet nicht, wenn die angegebenen Verschlüsselungstypen nicht initialisiert werden können.

Wenn die Verschlüsselungseinstellungen von Client und Server nicht übereinstimmen, schlägt die Verbindung fehl, außer in folgenden Fällen:

Wenn auf dem Datenbankserver "-ec SIMPLE" angegeben ist, aber nicht "-ec NONE", können Verbindungen, die keine Verschlüsselung anfordern, hergestellt werden, wobei automatisch einfache Verschlüsselung verwendet wird.
Wenn der Datenbankserver RSA-zertifizierte Verschlüsselung angibt und der Client FIPS-zertifizierte Verschlüsselung (bzw. umgekehrt), kommt die Verbindung erfolgreich zustande. In solchen Fällen gibt die Encryption-Verbindungseigenschaft den vom Datenbankserver angegebenen Wert zurück.

Das folgende Beispiel gibt an, dass Verbindungen ohne Verschlüsselung bzw. mit einfacher Verschlüsselung zulässig sind.

dbsrv12 -ec NONE,SIMPLE -x tcpip c:\mydemo.db

Das folgende Beispiel startet einen Datenbankserver, der das Ellipsenkurven-Serverzertifikat eccserver.id verwendet.

dbsrv12 -ec TLS(TLS_TYPE=ECC;IDENTITY=eccserver.id;IDENTITY_PASSWORD=test) -x tcpip c:\mydemo.db

Das folgende Beispiel startet einen Datenbankserver, der das RSA-Serverzertifikat rsaserver.id verwendet.

dbsrv12 -ec TLS(TLS_TYPE=RSA;IDENTITY=rsaserver.id;IDENTITY_PASSWORD=test) -x tcpip c:\mydemo.db

Das folgende Beispiel startet einen Datenbankserver, der das FIPS-genehmigte RSA-Serverzertifikat rsaserver.id verwendet.

dbsrv12 -ec TLS(TLS_TYPE=RSA;FIPS=Y;IDENTITY=rsaserver.id;IDENTITY_PASSWORD=test) -x tcpip c:\mydemo.db

-ec - dbeng12/dbsrv12-Serveroption

Syntax

Zulässige Werte

Hinweis

Gilt für

Bemerkungen

Hinweis

Siehe auch

Beispiel