-ec dbeng12/dbsrv12 サーバーオプション

{ dbeng12 | dbsrv12 } -ec encryption-options ...

encryption-options :

{ NONE |
   SIMPLE |
   TLS ( TLS_TYPE=algorithm;
   [ FIPS={ Y | N }; ]
   IDENTITY=server-identity-filename;
   IDENTITY_PASSWORD=password ) }, ...

NONE 暗号化されない接続を受け入れます。
SIMPLE 単純暗号化された接続を受け入れます。このタイプの暗号化は、すべてのプラットフォームで、また以前のバージョンのデータベースサーバーとクライアントでサポートされます。単純暗号化では、サーバー認証、強力な楕円曲線暗号化、RSA 暗号化、その他のトランスポートレイヤーセキュリティ機能は提供されません。
TLS 暗号化される接続を受け入れます。TLS パラメーターに指定できる必須の引数は次のとおりです。
- algorithm RSA 暗号化の場合は RSA を指定し、ECC 暗号化の場合は ECC を指定します。FIPS 認定の RSA 暗号化の場合は、TLS_TYPE=RSA;FIPS=Y を指定します。RSA FIPS 認定の暗号化は別の認定ライブラリを使用しますが、9.0.2 以降で RSA を指定しているクライアントと互換性があります。
  FIPS 認定コンポーネントがサポートされているプラットフォームのリストについては、 http://www.ianywhere.jp/tech/1061806-os_components.html を参照してください。
  
  アルゴリズムは、証明書を作成するときに使用される暗号化 (ECC または RSA) と一致する必要があります。
  
  FIPS 認定のアルゴリズムの実行については、-fips dbeng12/dbsrv12 サーバーオプションを参照してください。
  
  注意
  
  バージョン 10 以降のクライアントでは、ECC アルゴリズムを使用してバージョン 9.0.2 以前のデータベースサーバーに接続することはできません。この構成で強力な暗号化が必要な場合は、RSA アルゴリズムを使用してください。
- server-identity-filename サーバー ID 証明書のパスとファイル名を指定します。FIPS 認定の RSA 暗号化を使用している場合は、RSA アルゴリズムを使用して証明書を生成する必要があります。
  サーバー証明書の作成については、デジタル証明書を参照してください。サーバー証明書は、自己署名証明書、または認証局やエンタープライズルート証明書の署名を受けた証明書のいずれかです。
- password サーバーのプライベートキーのパスワードを指定します。このパスワードは、サーバー証明書を作成するときに指定します。

NONE と SIMPLE は、すべてのサーバーとオペレーティングシステムに適用されます。

TLS は、すべてのサーバーとオペレーティングシステムに適用されます (Windows Mobile を除く)。

FIPS 認定の暗号化サポートの詳細については、 [external link] http://www.ianywhere.jp/tech/1061806-os_components.html を参照してください。

このオプションは、トランスポートレイヤーセキュリティを使用してクライアントアプリケーションとデータベースサーバー間の通信パケットを安全化する場合に使用します。トランスポートレイヤーセキュリティを参照してください。

注意

別途ライセンスが必要な必須コンポーネント

ECC 暗号化と FIPS 認定の暗号化には、別途ライセンスが必要です。強力な暗号化テクノロジはすべて、輸出規制対象品目です。

別途ライセンスが必要なコンポーネントを参照してください。

-ec オプションを指定すると、データベースサーバーは指定された暗号化タイプによって暗号化される接続のみ受け入れます。カンマ区切りリストで、少なくとも 1 つのサポートされているパラメーターを指定してください。TDS プロトコルを介した接続は、jConnect を使用する Java アプリケーションを含みますが、-ec オプションの使用に関係なく常に受け入れられ、暗号化されることはありません。この TDS プロトコルオプションを NO に設定すると、これらの暗号化されていない TDS 接続は禁止されます。TDS プロトコルオプション (サーバー側のみ)を参照してください。

デフォルトでは、通信パケットは暗号化されないため、セキュリティに潜在的なリスクがあります。ネットワークパケットのセキュリティが心配な場合は、-ec オプションを使用します。暗号化がパフォーマンスに及ぼす影響はごくわずかです。

データベースサーバーが単純暗号化を受け入れ、暗号化されない接続を受け入れない場合、暗号化を使用しない TDS 接続以外の接続では、単純暗号化が使用されます。

-ec SIMPLE を指定してデータベースサーバーを起動すると、データベースサーバーは単純暗号化を使用した接続だけを受け入れます。TLS 接続 (ECC、RSA、RSA FIPS 認定の暗号化) は失敗し、暗号化を要求しない接続では単純暗号化が使用されます。

-ec SIMPLE,TLS(TLS_TYPE=ECC) を指定してデータベースサーバーを起動すると、データベースサーバーは ECC 暗号化または単純暗号化を使用する接続だけを受け入れます。RSA または RSA FIP 認定の暗号化を使用した接続は失敗し、暗号化を要求しない接続では単純暗号化が使用されます。

データベースサーバーで TCP/IP 上の暗号化された接続を受け入れ、さらに共有メモリを介してローカルコンピューターのデータベースへも接続できるようにする場合は、データベースサーバーの起動時に -ec オプションとともに -es オプションを指定できます。-es dbeng12/dbsrv12 サーバーオプションを参照してください。

dbecc12.dll ファイルと dbrsa12.dll ファイルには、暗号化と復号化に使用される ECC コードと RSA コードが保存されています。dbfips12.dll ファイルには、FIPS 認定の RSA アルゴリズムのコードが含まれています。データベースサーバーに接続するときに、適切なファイルが見つからなかったり、エラーが発生したりすると、データベースサーバーメッセージウィンドウにメッセージが表示されます。指定されたタイプの暗号化を開始できない場合、サーバーは起動しません。

クライアントとサーバーで暗号化の設定が一致していることが必要です。設定が異なっていると、次の場合を除き、接続は失敗します。

データベースサーバーに対して -ec SIMPLE を指定し、-ec NONE を指定しなかった場合、暗号化を要求しない接続は許可され、自動的に単純暗号化が使用されます。
データベースサーバー側で RSA を指定し、クライアント側で FIPS 認定の暗号化を指定している場合、またはその逆の場合には、接続は成功します。この場合、Encryption 接続プロパティはデータベースサーバー側で指定された値を返します。

次の例は、暗号化されない接続と単純暗号化を使用する接続を許可します。

dbsrv12 -ec NONE,SIMPLE -x tcpip c:\mydemo.db

次の例は、楕円曲線サーバー証明書 eccserver.id を使用するデータベースサーバーを起動します。

dbsrv12 -ec TLS(TLS_TYPE=ECC;IDENTITY=eccserver.id;IDENTITY_PASSWORD=test) -x tcpip c:\mydemo.db

次の例は、RSA サーバー証明書 rsaserver.id を使用するデータベースサーバーを起動します。

dbsrv12 -ec TLS(TLS_TYPE=RSA;IDENTITY=rsaserver.id;IDENTITY_PASSWORD=test) -x tcpip c:\mydemo.db

次の例は、FIPS 認定の RSA サーバー証明書 rsaserver.id を使用するデータベースサーバーを起動します。

dbsrv12 -ec TLS(TLS_TYPE=RSA;FIPS=Y;IDENTITY=rsaserver.id;IDENTITY_PASSWORD=test) -x tcpip c:\mydemo.db

-ec dbeng12/dbsrv12 サーバーオプション

構文

指定可能な値

注意

適用対象

備考

注意

参照

例