Certyfikaty i Service Broker
W tym temacie opisano sposób SQL Server używa certyfikatów do Service Broker zdalnego zabezpieczeń.Zabezpieczenia zdalnego Service Broker odnosi się do czynności obejmujących więcej niż jeden SQL Server wystąpienie korzystania z tych operacji albo okna dialogowego zabezpieczeń lub transportu zabezpieczeń.
Omówienie
Zabezpieczenia zdalnego Service Broker mapuje operacji z poza wystąpienie do SQL Server głównej bazy danych.Operacja, a następnie przychody w kontekście zabezpieczeń zleceniodawcy bazy danych, z normalnym SQL Server uprawnienia kontroli.For example, when a message arrives for a conversation that uses dialog security, Service Broker uses information in the message to identify a database principal for the remote side of the conversation.SQL Server then verifies that the principal has permission to connect to the database that hosts the destination service, and permission to send a message to the destination service.
SQL Server używa certyfikatów do weryfikowania tożsamości zdalnej bazy danych i zidentyfikować kapitału lokalnej bazy danych dla tej operacji.Dlatego instalowania certyfikat w SQL Server stanowi instrukcja zaufania w bazie danych przechowuje klucz prywatny certyfikat.Ostrożnie certyfikaty, które można zainstalować i zarządzać powiązania usługa zdalnego utworzone.
.gif "Uwaga dotycząca zabezpieczeń") Uwaga dotycząca zabezpieczeń |
|---|
Certyfikaty należy instalować tylko z zaufanych źródeł.Nie rozpowszechniaj kluczy prywatnych. |
Sprawdzić tożsamość serwera zdalnego, SQL Server musi otrzymywać informacje, które mogą być odszyfrowane przy użyciu klucz publicznego w certyfikat własnością lokalnej bazy danychgłównego zobowiązanego. Jeśli SQL Server pomyślnie może odszyfrować informacje, oznacza to, że zdalnej bazy danych zawiera klucz prywatny, który odpowiada klucz publiczny z certyfikat lokalnego.Po SQL Server weryfikuje tożsamości zdalnej bazy danych, zdalnej bazy danych można act z uprawnieniami lokalnej bazy danychgłównego zobowiązanego.
Dla bezpieczeństwa transportu każdej bazy danych musi ufać bazy danych.Certyfikaty lub uwierzytelniania systemu Windows, można użyć zabezpieczeń transportu.Więcej informacji na temat zabezpieczeń transportu, zobacz Zabezpieczeń transportu Service Broker.
Okno dialogowe zabezpieczeń inicjatora w oknie dialogowym musi ufać docelowym i muszą być w stanie zweryfikować tożsamość miejsce docelowe.Obiekt miejsce docelowe może jednak Zezwalaj na połączenia z inicjatorów, które nie dostarczają informacji identyfikacyjnych.W takim przypadek użyj inicjatorów publicznych roli w bazie danych, obsługującym usługa miejsce docelowe.Okno dialogowe zabezpieczeń zawsze używa certyfikatów.Więcej informacji na temat okna dialogowego zabezpieczeń, zobacz Service Broker okna dialogowego zabezpieczeń.
SQL Servernie dostarcza metod zautomatyzowanej konfiguracja zabezpieczeń Service Broker z zastosowaniem świadectw.
Wymagania certyfikatów
Do zabezpieczeń Service Broker certyfikat muszą spełniać następujące wymagania:
Modulus klucz musi być mniejsza niż 2048.
Długość całkowita certyfikat musi być mniejsza niż 32 kilobajty (KB).
Należy podać nazwę podmiotu.
Daty ważności musi być określona.
Długość klucz musi być wielokrotnością 64 bitów.
Certyfikat z podpisem własnym utworzony za pomocą Transact-SQL instrukcja Tworzenie certyfikatu spełnia wymagania określone w poprzednim listy.Certyfikaty, które są ładowane z pliku mogą nie spełniać tych wymagań.
Gdy certyfikat jest przechowywany w SQL Server, certyfikat musi być szyfrowane za pomocą klucz głównego dla bazy danych.Service Broker nie można używać certyfikatów, które są szyfrowane tylko przy użyciu hasła.Ponadto klucz głównego dla bazy danych musi być zaszyfrowany za pomocą klucz usługa wystąpienie.W przeciwnym razie Service Broker nie może otworzyć klucz głównego.
Aby SQL Server do używania certyfikatu, aby rozpocząć konwersację, certyfikat musi być oznaczony aktywne dla BEGIN_DIALOG.Certyfikaty są oznaczane jako aktywne okno dialogowe begin domyślnie.Można jednak tymczasowo Dezaktywuj certyfikat podczas aktualizowania konfiguracja zabezpieczeń dla usługa.Aby uzyskać więcej informacji, zobacz Tworzenie certyfikatu (Transact-SQL) i ALTER certyfikatu (Transact-SQL).