Datenbankserver mit Transportschichtsicherheit

Um den Datenbankserver mit Transportschichtsicherheit zu starten, geben Sie den Namen der Serveridentitätsdatei und das Kennwort, mit dem der private Schlüssel des Servers geschützt ist, an.

Eine Übersicht über die notwendigen Schritte zum Einrichten der Transportschichtsicherheit finden Sie unter Transportschichtsicherheit einrichten.

Benutzen Sie die Datenbankserveroption -ec, um die Parameter identity und identity_password anzugeben. Wenn Sie auch unverschlüsselte Verbindungen über Shared Memory erlauben möchten, geben Sie auch die -es-Option an.

Folgendes ist die Syntax einer partiellen dbsrv12-Befehlszeile:

-ec tls(
   tls_type=algorithm;
   identity=server-identity-filename;
   identity_password=password )
-x tcpip

algorithm Der zu verwendende Algorithmus:. Der Algorithmus kann rsa oder ecc sein, für RSA- bzw. ECC-Verschlüsselung. Geben Sie bei FIPS-zertifizierter RSA-Verschlüsselung tls_type=rsa;fips=y an. Für die RSA FIPS-zertifizierte Verschlüsselung wird eine separate zertifizierte Bibliothek verwendet. Sie ist jedoch mit SQL Anywhere-Clients der Version 9.0.2 oder höher kompatibel, die RSA verwenden.
Eine Liste der FIPS-zertifizierten Komponenten finden Sie unter http://www.sybase.com/detail?id=1061806.

Der Algorithmus: muss mit der beim Erstellen Ihrer Zertifikate verwendeten Verschlüsselung (ECC oder RSA) übereinstimmen.

Hinweise zum Erzwingen von FIPS-zertifizierten Algorithmen finden Sie unter -fips - dbeng12/dbsrv12-Serveroption.
server-identity-filename Der Pfad und der Dateiname der Serveridentitätsdatei. Wenn Sie FIPS-zertifizierte RSA-Verschlüsselung verwenden, müssen Sie Ihre Zertifikate mit dem RSA-Algorithmus generieren.
Eine Identitätsdatei enthält das öffentliche Zertifikat und seinen privaten Schlüssel. Für Zertifikate, die nicht selbst signiert sind, enthält die Identitätsdatei auch alle Signierzertifikate.

Weitere Hinweise zum Erstellen von Serverzertifikaten, ob selbstsigniert oder durch eine Zertifizierungsstelle bzw. ein Unternehmensstammzertifikat signiert, finden Sie unter Digitale Zertifikate.
password Das Kennwort für den privaten Schlüssel des Servers. Sie geben dieses Kennwort beim Erstellen des Serverzertifikats an.

Sie können den Datenbankserver auch mit einfacher Verschlüsselung starten. Die einfache Verschlüsselung erschwert es einem Eindringling, einen Datenpaketschnüffler einzusetzen, um die zwischen Client und Server transportieren Netzwerkpakete auszuspähen. Dabei wird aber weder die Datenintegrität noch eine Serverauthentifizierung garantiert.

Das TCP/IP-Protokoll wird mit der Datenbankserveroption -x angegeben.

Siehe auch

Beispiel

Im folgenden Beispiel wird mit der Datenbankserveroption -ec (in einer einzigen Zeile eingegeben) der Sicherheitstyp ECC, die Serveridentitätsdatei und das Kennwort, das den privaten Schlüssel des Servers schützt, angegeben:

dbsrv12 -ec tls( tls_type=ecc;identity=c:\test\serv1_ecc.id;identity_password=mypwd )
 -x tcpip c:\test\secure.db

Sie können die Befehlszeilenoptionen, einschließlich Kennwörter, mit einer Konfigurationsdatei und dem Dienstprogramm zum Verschleiern von Dateien, dbfhide, ausblenden. Siehe Dienstprogramm zum Verschleiern von Dateien (dbfhide) und @data - dbeng12/dbsrv12-Serveroption.

Kommentieren Sie diese Seite in DocCommentXchange.