Firma di pacchetti con certificati
Data aggiornamento: 12 dicembre 2006
È possibile firmare i pacchetti di SQL Server 2005 Integration Services (SSIS) con un certificato e configurarli in modo che in fase di esecuzione venga richiesta la verifica della firma prima del caricamento del pacchetto. Le proprietà del pacchetto CheckSignatureOnLoad e CertificateObject indicano se un certificato deve essere controllato o meno e specificano il certificato utilizzato per la firma del pacchetto. Per il certificato utilizzato per la firma del pacchetto deve essere abilitata la firma del codice.
Integration Services include una valore del Registro di sistema che consente di gestire i criteri di un'organizzazione per il caricamento di pacchetti firmati e non firmati. Il valore del Registro di sistema consente inoltre di gestire firme non attendibili di pacchetti firmati. In relazione allo stato delle firme utilizzate per firmare pacchetti, il valore del Registro di sistema BlockedSignatureStates utilizza le definizioni seguenti:
- Per firma valida si intende una firma che può essere letta.
- Per firma non valida si intende una firma il cui checksum decrittografato, ovvero l'hash unidirezionale del codice del pacchetto crittografato mediante una chiave privata, non corrisponde al checksum decrittografato calcolato nell'ambito del processo di caricamento dei pacchetti di Integration Services.
- Per firma attendibile si intende una firma creata tramite un certificato digitale firmato da un'autorità di certificazione principale attendibile. Con questa impostazione non è necessario che il firmatario sia contenuto nell'elenco degli autori attendibili.
- Per firma non attendibile si intende una firma che non può essere verificata in riferimento al rilascio da parte di un'autorità di certificazione principale attendibile o una firma non corrente.
Per utilizzare il valore del Registro di sistema allo scopo di impedire il caricamento di pacchetti non firmati oppure con firme non valide o non attendibili, è necessario aggiungere il valore BlockedSignatureStates DWORD alla chiave del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTS e specificare rispettivamente i valori 0, 1, 2 o 3.
Nella tabella seguente vengono elencati i valori validi dei dati DWORD e i relativi criteri.
Valore | Descrizione |
---|---|
0 |
Nessuna restrizione amministrativa. |
1 |
Blocco delle firme non valide. Con questa impostazione non vengono bloccati i pacchetti non firmati. |
2 |
Blocco delle firme non valide e non attendibili. Con questa impostazione non vengono bloccati i pacchetti non firmati, ma vengono bloccate le firme a generazione automatica. |
3 |
Blocco delle firme non valide e non attendibili e dei pacchetti non firmati. Con questa impostazione vengono bloccate anche le firme a generazione automatica. |
Se il tipo di valore di BlockedSignatureStates nel Registro di sistema è DWORD e il valore non è 0, 1, 2 o 3, in Integration Services il valore del Registro di sistema verrà considerato come se fosse 3. Se BlockedSignatureStates non è impostato su DWORD, in Integration Services il valore del Registro di sistema verrà considerato come tipo DWORD con valore 0.
[!NOTA] L'impostazione consigliata per BlockedSignatureStates è 3. Questa impostazione garantisce la massima protezione da pacchetti non firmati o firme non valide o non attendibili, ma potrebbe non essere appropriata per tutte le circostanze. Per ulteriori informazioni su come firmare elementi digitali, vedere "Introduzione alla firma di codice" in MSDN Library.
Per firmare un pacchetto
Procedura: Inserimento di una firma digitale in un pacchetto
Procedura: Implementazione di criteri per le firme mediante un valore del Registro di sistema
Vedere anche
Concetti
Pacchetti Integration Services
Considerazioni sulla protezione di Integration Services
Guida in linea e informazioni
Cronologia modifiche
Versione | Cronologia |
---|---|
12 dicembre 2006 |
|
14 aprile 2006 |
|