トランスポートレイヤーセキュリティを使用するデータベースサーバー

トランスポートレイヤーセキュリティを使用してデータベースサーバーを起動するには、サーバー ID ファイル名と、サーバーのプライベートキーを保護するパスワードを指定します。

トランスポートレイヤーセキュリティを設定する手順の概要については、トランスポートレイヤーセキュリティの設定を参照してください。

-ec データベースサーバーオプションを使用して、identity パラメーターと identity_password パラメーターを指定します。共有メモリを経由した暗号化されていない接続を許可する場合は、-es オプションも指定する必要があります。

dbsrv12 コマンドラインの一部の構文を次に示します。

-ec tls(
   tls_type=algorithm;
   identity=server-identity-filename;
   identity_password=password )
-x tcpip

algorithm 使用するアルゴリズムアルゴリズムの場合は rsa を指定し、RSA および ECC 暗号化の場合は ecc を指定します。FIPS 認定の RSA 暗号化の場合は、tls_type=rsa;fips=y を指定します。RSA FIPS 認定暗号化は別の認定ライブラリを使用しますが、SQL Anywhere 9.0.2 以降で RSA を使用しているクライアントと互換性があります。
FIPS 認定コンポーネントがサポートされているプラットフォームのリストについては、 http://www.ianywhere.jp/tech/1061806-os_components.html を参照してください。

アルゴリズムは、証明書を作成するときに使用される暗号化 (ECC または RSA) と一致する必要があります。

FIPS 認定のアルゴリズムの実行については、-fips dbeng12/dbsrv12 サーバーオプションを参照してください。
server-identity-filename サーバー ID ファイルのパスとファイル名を指定します。FIPS 認定の RSA 暗号化を使用している場合は、RSA アルゴリズムを使用して証明書を生成する必要があります。
ID ファイルには、パブリック証明書とプライベートキーが格納されています。自己署名されていない証明書の場合は、その証明書に署名を行うすべての証明書も ID ファイルに格納されています。

サーバー証明書の作成については、デジタル証明書を参照してください。サーバー証明書は、自己署名証明書、または認証局やエンタープライズルート証明書の署名を受けた証明書のいずれかです。
password サーバーのプライベートキーのパスワードを指定します。このパスワードは、サーバー証明書を作成するときに指定します。

単純暗号化を使用してデータベースサーバーを起動することもできます。単純暗号化を使用すると、パケットスニッファを使用して、クライアントとサーバーの間で送信されるネットワークパケットを読み取るのが困難になります。ただし、データの整合性は保証されず、サーバー認証を行うこともできません。

TCP/IP プロトコルは、-x データベースサーバーオプションを使用して指定します。

参照

例

次の例 (すべて 1 行に入力) では、-ec データベースサーバーオプションを使用して、ECC セキュリティ、サーバー ID ファイル、サーバーのプライベートキーを保護するパスワードを指定します。

dbsrv12 -ec tls( tls_type=ecc;identity=c:\test\serv1_ecc.id;identity_password=mypwd )
 -x tcpip c:\test\secure.db

設定ファイルとファイル難読化ユーティリティ (dbfhide) を使用して、パスワードを含むコマンドラインオプションを非表示にできます。ファイル非表示ユーティリティ (dbfhide)と@data dbeng12/dbsrv12 サーバーオプションを参照してください。

DocCommentXchange で意見交換できます