Aracılığıyla paylaş


Sertifikaları ve Service Broker

Bu konu açıklar nasıl SQL Server sertifikaları uzaktan Hizmet Aracısı güvenliğini kullanır. Hizmet Aracısı uzak güvenlik birden fazla ilgili işlemleri gösterir. SQL Server Bu işlem her iki iletişim güvenliği kullanmak veya güvenlik taşıma örnek.

Genel Bakış

Uzak güvenlik Hizmet Aracısı örneğine dışında bir operasyondan diğerine eşleştiren bir SQL Server Veritabanı sorumlusu. Bu veritabanı anapara (normal ile güvenlik bağlamında sonra işlem devam eder SQL Server iznini denetler. For example, when a message arrives for a conversation that uses dialog security, Service Broker uses information in the message to identify a database principal for the remote side of the conversation.SQL Server then verifies that the principal has permission to connect to the database that hosts the destination service, and permission to send a message to the destination service.

SQL Server Sertifikalar, bir uzak veritabanına kimliğini doğrulamak ve operasyon için yerel veritabanı sorumlusu tanımlamak için kullanır.Bu nedenle, yükleme bir sertifika içinde SQL Server güven veritabanında bulunan ve özel anahtar tutan bir deyim oluşturan sertifika. Sertifikaları yüklemeniz ve oluşturduğunuz uzak hizmet bağlamalarını dikkatle yönetin.

Security noteSecurity Note:

Yalnızca sertifikaları güvenilen kaynaklardan yükleyin.Özel anahtarlar dağıtmayın.

Uzak sunucunun kimliğini doğrulamak için SQL Server ortak anahtar çözülebilecek bilgi almanız bir sertifika bir yerel veritabanı sorumlusu tarafından sahip olunan. If SQL Server bilgiler şifresini çözebilen başarıyla uzak veritabanı yerel sertifikadaki ortak anahtarın karşılık gelen özel anahtar içerdiğini gösterir. Bir kez SQL Server kimliğini doğrular uzak bir veritabanı, yerel veritabanı anapara izinleriyle uzak veritabanı davranabilir.

Aktarım Katmanı Güvenliği sağlamak için her bir veritabanını diğer veritabanı güvenmelidir.Aktarım Katmanı Güvenliği, Sertifikalar'ı veya Windows kimlik doğrulaması kullanabilirsiniz.Aktarım Katmanı Güvenliği hakkında daha fazla bilgi için bkz: Service Broker aktarım güvenliği.

Iletişim güvenliği iletişim başlatan hedef güvenmelidir ve hedefin kimliğini doğrulamak çalıştırabilmesi gerekir.Ancak, hedef, başlatıcı tanıtıcı bilgi sağlayan bağlantıları verebilir.Bu durumda, başlatıcı kullanmak Ortak rolün veritabanındaki hedef hizmet barındıran.Iletişim güvenliği her zaman sertifika kullanır.Iletişim güvenliği hakkında daha fazla bilgi için bkz: Service Broker iletişim güvenliği.

SQL Server Otomatik yapılandırma Hizmet Aracısı güvenlik yöntemleri, sertifikalar aracılığıyla sağlamaz.

Sertifika gereksinimleri

Hizmet Aracısı güvenliği için kullanılacak bir sertifika aşağıdaki gereksinimleri karşılaması gerekir:

  • Anahtar modül 2048'den az olmalıdır.

  • Toplam sertifika uzunluğu, daha az 32 kilobayttır (KB) olması gerekir.

  • Bir konu adı belirtilmeli.

  • Geçerlilik tarihlerini belirtilmeli.

  • Anahtar uzunluğu 64 bitlik katları olmalıdır.

Kendini imzalamış sertifika ile oluşturulan Transact-SQLdeyim CREATE SERTIFIKASı, yukarıdaki listede gereksinimlerini karşılar. Bir dosyadan yüklenen Sertifika bu gereksinimlerini karşılayabilir.

Sertifikanın ne zaman saklanır SQL Server, veritabanı için ana anahtar ile sertifikayı şifrelenmelidir. Hizmet Aracısı, sertifikaları, yalnızca şifrelenmiş parola ile kullanamazsınız.Ayrıca, veritabanı için ana anahtar için hizmet anahtarıyla şifrelenmelidir örnek.Aksi halde, Hizmet Aracısı ana anahtar açılamıyor.

Sipariş için SQL Server bir görüşme başlatmak için bir sertifika kullanmak için , sertifika IÇIN ACTIVE BEGIN_DIALOG işaretlenmelidir. Sertifikalar, varsayılan olarak Başlangıç iletişim için etkin olarak işaretlenir.Ancak, bir hizmet güvenlik yapılandırmasını güncellerken bir sertifika geçici olarak devre dışı bırakma seçebilirsiniz.Daha fazla bilgi için bkz: SERTIFIKASı (Transact-SQL) CREATE ve SERTIFIKASı (Transact-SQL) ALTER.