Info über Transportschichtsicherheit
Ein Zertifikat kann von anderen Zertifikaten signiert werden oder selbstsigniert sein, also nur mit dem eigenen privaten Schlüssel signiert sein. Eine Reihe öffentlicher Zertifikate, von denen jedes vom jeweils nächsten signiert wird, nennt man Zertifikatskette. An einem Ende einer typischen Kette befindet sich ein Zertifikat, das für einen bestimmten MobiLink-Synchronisationsserver verwendet wird. Am anderen Ende befindet sich ein Zertifikat, das von keinen anderen Zertifikaten signiert wurde, das sogenannte Stammzertifikat.
Sie können Zertifikate entsprechend Ihrer Anforderungen unterschiedlich anordnen. In den folgenden Abschnitten wird der optimale Aufbau und die Verwendung von Zertifikatsketten beschrieben, um bestimmte Sicherheitsziele zu erreichen. Folgende Themen werden behandelt:
Wenn Sie nur über einen Server verfügen, ist es am einfachsten, ein selbstsigniertes Zertifikat zu erstellen. Der einzige Nachteil besteht darin, dass der private Schlüssel für das Zertifikat auf dem Synchronisationsserver gespeichert werden muss, auf dem er schlechter geschützt werden kann.
Ein Unternehmensstammzertifikat ist vor allem für Unternehmen von Vorteil, die mehrere MobiLink-Server einsetzen. Dabei müssen MobiLink-Clients nur eine Kopie dieses Stammzertifikats speichern, um jeden MobiLink-Synchronisationsserver zu erkennen, der ein Zertifikat ausgibt, das von diesem Stammzertifikat signiert wurde.
Von außenstehenden Zertifizierungsstellen ausgestellte Zertifikate sind von Vorteil für Unternehmen, die höchste Sicherheitsanforderungen stellen. Diese Zertifizierungsstellen sind auf zwei Arten nützlich. Zunächst entsprechen die von ihnen verwendeten Stammzertifikate höchsten Sicherheitsansprüchen und sind daher besser vor Angriffen geschützt. Zweitens können kommerzielle Zertifizierungsstellen als vertrauenswürdige Drittpartei dienen, wenn zwei Unternehmen, die sich noch unbekannt sind, sicher miteinander kommunizieren möchten.
Sie können und sollten in vielen Fällen diese Einrichtungen nutzen, um Zertifikate überprüfen zu können. Diese Sicherheitsmaßnahme ist in vielen Situationen sinnvoll, vor allem jedoch bei der Verwendung von global signierten Zertifikaten. Sie werden in einem solchen Fall wohl nicht wünschen, dass Ihre Clients Zertifikaten trauen müssen, die Ihre Zertifizierungsstelle für andere Kunden signiert hat.
In allen Fällen müssen Sie sicherstellen, dass die MobiLink-Befehlszeile und die Logdatei gesichert aufbewahrt werden. Hierfür bietet sich der Einsatz einer Firewall und die Einschränkung des Zugriffs auf den Rechner an, auf dem der MobiLink-Synchronisationsserver läuft.
Die MobiLink-Transportschichtsicherheit bietet einen flexiblen Mechanismus, um Sicherheit für Ihre Rechnersysteme zu gewährleisten. Mit dem grundlegenden System können Sie Informationen verschlüsseln. Durch den Einsatz von Zertifikaten stellen Sie außerdem sicher, dass MobiLink-Clients ausschließlich mit vertrauenswürdigen MobiLink-Synchronisationsservern kommunizieren.
SQL Anywhere Studio 9.0.1
Copyright © 1989–2004 Sybase Inc. Teil-Copyright © 2001–2004 iAnywhere Solutions Inc. Alle Rechte vorbehalten.