Options de serveur de base de données
Utilise un cryptage simple ou la sécurité de la couche de transport pour protéger tous les paquets natifs Adaptive Server Anywhere (DBLib, ODBC et OLE DB) transmis vers et depuis tous les clients. Les paquets TDS ne sont pas cryptés.
{ dbsrv9 | dbeng9 } -ec options_cryptage ...
options_cryptage :
{ NONE
|SIMPLE
|ECC_TLS (CERTIFICATE=nom_fichier ;
CERTIFICATE_PASSWORD=mot_de_passe )
|RSA_TLS (CERTIFICATE=nom_fichier ;
CERTIFICATE_PASSWORD=mot_de_passe )
| RSA_TLS_FIPS (CERTIFICATE=nom_fichier ;
CERTIFICATE_PASSWORD=mot_de_passe ) } , ...
Cette option permet de protéger des paquets de communication entre applications clientes et serveur de base de données au moyen de la sécurité de la couche de transport.
Pour plus d'informations, reportez-vous à la section Sécurité de la couche de transport Adaptive Server Anywhere.
Option sous licence séparée requisePour utiliser la sécurité de la couche de transport, vous devez vous procurer l'option de sécurité SQL Anywhere Studio sous licence séparée qui est soumise aux règles d'exportation.Pour commander ce composant, reportez-vous à la section Composants sous licence séparée. |
L'option -ec demande au serveur de base de données d'accepter uniquement les connexions des interfaces ODBC, OLE DB ou Embedded SQL qui sont cryptées en utilisant l'un des types spécifiés. Les connexions avec le protocole TDS, qui incluent les applications Java utilisant jConnect, sont toujours acceptées, indépendamment de l'utilisation de l'option -ec, et ne sont jamais cryptées. L'affectation de la valeur NO au paramètre de connexion TDS désactive ces connexions TDS non cryptées.
Pour plus d'informations, reportez-vous à la section Option de protocole TDS.
Par défaut, les paquets ne sont pas cryptés, ce qui constitue une faille potentielle dans le système de protection des données. Si cela constitue un problème, utilisez l'option -ec. Le cryptage n'affecte que légèrement les performances. L'option -ec définit les paramètres de cryptage du serveur et requiert l'un des paramètres qui suivent dans une liste séparée par des virgules :
none Accepte les connexions non cryptées.
simple Accepte les connexions qui ont un cryptage simple. Ce type de cryptage est supporté sur toutes les plates-formes, ainsi que sur les versions précédentes d'Adaptive Server Anywhere. Le cryptage simple ne permet pas l'authentification du serveur, le cryptage fort à courbe elliptique ou RSA, ou d'autres options de sécurité de la couche de transport.
ECC_TLS Accepte les connexions cryptées à l'aide de la technologie Certicom de cryptage à courbe elliptique. Pour la compatibilité amont, ecc_tls peut également être spécifié comme CERTICOM. Pour utiliser ce type de cryptage, le serveur et le client doivent tous deux être exécutés sur Solaris, Linux, NetWare, Mac OS X ou toute autre plate-forme Windows prise en charge, à l'exception de Windows CE, et la connexion doit s'effectuer via le port TCP/IP. Les plates-formes UNIX, à l'exception de Solaris, Linux et Mac OS X, ne reconnaissent pas le paramètre ECC_TLS client ou serveur. Ce paramètre accepte les arguments requis suivants :
certificate Nom de fichier du certificat de serveur.
Il s'agit du certificat de serveur qui contient la clé privée du serveur. Ce certificat peut être autosigné ou signé par un certificat d'origine d'entreprise ou certificat d'autorité.
certificate_password Mot de passe pour la clé privée du certificat de serveur.
Afin d'utiliser ECC_TLS, vous devez créer vos certificats au moyen du chiffrement ECC.
Pour plus d'informations sur la création de certificats, reportez-vous à la section Création de certificats numériques.
RSA_TLS Accepte les connexions cryptées à l'aide de la technologie de cryptage RSA. Pour utiliser ce type de cryptage, le serveur et le client doivent tous deux être exécutés sur Solaris, Linux, NetWare, Mac OS X ou toute autre plate-forme Windows prise en charge, à l'exception de Windows CE, et la connexion doit s'effectuer via le port TCP/IP. Les plates-formes UNIX, à l'exception de Solaris, Linux et Mac OS X, ne reconnaissent pas le paramètre RSA_TLS client ou serveur. Ce paramètre accepte les arguments requis suivants :
certificate Nom de fichier du certificat de serveur.
Il s'agit du certificat de serveur qui contient la clé privée du serveur. Ce certificat peut être autosigné ou signé par un certificat d'origine d'entreprise ou certificat d'autorité.
certificate_password Mot de passe pour la clé privée du certificat de serveur.
Vous devez créer vos certificats au moyen du chiffrement RSA.
Pour plus d'informations sur la création de certificats, reportez-vous à la section Création de certificats numériques.
RSA_TLS_FIPS Accepte les connexions cryptées à l'aide de la technologie de cryptage RSA approuvée par FIPS. RSA_TLS_FIPS utilise une bibliothèque approuvée distincte, mais est compatible avec les clients spécifiant RSA_TLS avec Adaptive Server Anywhere 9.0.2 ou version ultérieure. Pour utiliser ce type de cryptage, le serveur et le client doivent être exécutés sous un système d'exploitation Windows 32 bits pris en charge, et la connexion doit être établie via le port TCP/IP. Ce paramètre accepte les arguments requis suivants :
certificat Nom de fichier du certificat de serveur.
Il s'agit du certificat de serveur qui contient la clé privée du serveur. Ce certificat peut être autosigné ou signé par un certificat d'origine d'entreprise ou certificat d'autorité.
certificate_password Mot de passe pour la clé privée du certificat de serveur.
Si vous utilisez un cryptage RSA approuvé par FIPS, vous devez créer vos certificats avec le chiffrement RSA.
Pour plus d'informations sur la création de certificats, reportez-vous à la section Création de certificats numériques.
Les fichiers dbecc9.dll et dbrsa9.dll contiennent le code ECC et RSA utilisé pour le cryptage et le décryptage. dbrsa9f.dll contient le code pour l'algorithme RSA approuvé par FIPS. Lors de la connexion au serveur, si le fichier voulu est introuvable ou si une erreur survient, un message apparaît sur la fenêtre du serveur. Le serveur ne démarre pas si les types de cryptage spécifiés ne peuvent pas être lancés.
Les paramètres de cryptage du client et du serveur doivent concorder ou bien la connexion échoue. Cependant, si -ec simple est spécifiée sur le serveur et non -ec none, les connexions ne requérant pas de cryptage peuvent être établies et peuvent utiliser automatiquement un cryptage simple.
L'exemple suivant spécifie le certificat de serveur à courbe elliptique sample.crt à la ligne de commande dbsrv9 :
dbsrv9 -ec ecc_tls(certificate=sample.crt; certificate_password=tJ1#m6+W) -x tcpip asademo.db
L'exemple suivant spécifie le certificat de serveur RSA rsaserver.crt à la ligne de commande dbsrv9.
dbsrv9 -ec rsa_tls(certificate=rsaserver.crt; certificate_password=test) -x tcpip asademo.db
L'exemple suivant spécifie le certificat de serveur RSA rsaserver.crt à la ligne de commande dbsrv9. Le paramètre rsa_tls_fips est utilisé pour l'algorithme RSA approuvé par FIPS.
dbsrv9 -ec rsa_tls_fips(certificate=rsaserver.crt; certificate_password=test) -x tcpip asademo.db
SQL Anywhere Studio 9.0.2
Copyright © 1989–2004 Sybase, Inc. Copyright partiel © 2001–2004 iAnywhere Solutions, Inc. Tous droits réservés.