Iletişim kutusu güvenlik sertifikaları
Görüşme başladığında, Hizmet Aracısı uzaktan hizmet bağlantılarını kullanmak için konuşma sertifika bulmak için kullanır.Bu konuda, Hizmet Aracısı nasıl belirlediği açıklanır sertifika görüşme için kullanılacak.
Bir iletişim kutusu için sertifikayı bulma
Hizmet Aracısı ilk görüşme için bir uzak hizmet bağlaması bulur ve sonra bağlama, belirtilen kullanıcının sahip olduğu bir sertifika seçer.
Bağlama bulmak için Hizmet Aracısı görüşme için hedef hizmet adını belirten bir bağlama için veritabanını denetler.
Bir sertifika seçmek için Hizmet Aracısı uzaktan hizmet bağlamada belirtilen kullanıcının sahibi son bitiş tarihine sahip sertifikanın bulur.Hizmet Aracısı Sertifika henüz geçerli olmayan, süresi dolmuş ya da, Başlangıç iletişim olarak işaretlenmemiş dikkate almaz.Sertifikalar hakkında daha fazla bilgi için bkz:SERTIFIKASı (Transact-SQL) CREATE.
Hiçbir uzak hizmet bağlaması yok veya kullanıcı için uzak hizmet bağlaması Başlangıç iletişim kutusu için kullanılabilecek geçerli bir sertifika sahibi, Hizmet Aracısı görüşme ileti şifrelenemiyor.Hiçbir bağlama yok ve bir aracı Yapılandırma hizmeti veritabanını içeren, Hizmet Aracısı bağlama bu hizmeti üzerinden ister.Şifreleme açık veya kapalı şifreleme, şifreleme olmadan devam eder, veritabanına hiçbir aracı Yapılandırma hizmeti yok veya uzak hizmet bağlaması aracı Yapılandırma hizmeti sağlamaz, görüşme Gecikmeli.Daha fazla bilgi için bkz:Güvenlik iletişim türünü belirleme.
Uzaktan yetkilendirme ve iletişim güvenliği
Hizmet Aracısı iletişim güvenlik sertifikaları uzaktan yetkilendirme için kullanır.Bir iletişim kutusu iletişim güvenliği kullandığında, görüşme, her katılımcı tarafından gönderilen ilk ileti başlık bilgileri gönderen kullanıcının özel anahtar ile şifrelenir ve alan kullanıcının ortak anahtarıyla şifrelenen başlık bilgilerini içerir.İletinin içeriğini bir oturum anahtar ile şifrelenir.Oturum anahtar şifrelenmiştir ve yalnızca alan kullanıcının özel anahtar kullanılarak kurtarılabilir.
Alıcı iletinin başarıyla iletinin şifresini çözebilir, alıcı ilgili anahtarlara sahip ve bu görüşme, her katılımcı kimliğini doğrular, demektir.Bir veritabanı sertifika yükleme, özel anahtar içeren veritabanı ile bir güven ilişkisi oluşturur.
De etkili bir başlıkla yerel kullanıcının özel anahtar şifrelemek için soru sorar, "Mu uzak veritabanı güven yerel veritabanına?" Veritabanı karşılık gelen ortak anahtar. varsa uzak veritabanı yalnızca üstbilgi çözebilir Bir başlıkla bir uzak veritabanında bir kullanıcı için genel anahtar şifreleme soru sorar, "Mu yerel veritabanına güveniyor uzak veritabanı?" Veritabanı ilgili özel anahtar. varsa uzak veritabanı yalnızca üstbilgi çözebilir Güvenlik ve verimlilik için Hizmet Aracısı aynı anda iki soru sorar.Böylece alıcı iletiyi doğru yanıtlamak için iki soru onaylayan olması gerekir, ancak ileti yapılandırılmıştır.
Bu stratejinin arkasındaki reasoning basit bir işlemdir.Yerel veritabanındaki bir özel anahtar ile şifrelenmiş bir başlık uzak veritabanı şifresini çözebilir, uzak veritabanına karşılık gelen ortak anahtarı içeren ve uzak veritabanı yerel veritabanına güvenir.Yerel veritabanındaki bir ortak anahtar ile şifrelenmiş bir başlık uzak veritabanı şifresini çözebilir, uzak veritabanına karşılık gelen özel anahtarı içeren ve yerel veritabanının uzak veritabanı güvenir.Özel anahtar gizli kaldığı sürece, yalnızca konuşmada geçen iki veritabanı başarıyla görüşme iletileri alabilirsiniz.
Not
Yalnızca güvenilir kaynaklardan gelen sertifikaları yükleyin.Özel anahtarlar dağıtın.
Tüm iletişim güvenlik ilk ileti alışverişi sırasında her iki yönde kimliğini doğrular.Anonim iletişim güvenliği kullanarak görüşme başlatan hedef veritabanını beklenen özel anahtar içeren doğrular.Ancak, anonim iletişim güvenliği, hedef veritabanı başlatıcının kimliğini doğrulamaz; bunun yerine hedef hizmet barındıran veritabanı izin vermenizortak sabit veritabanı rolü. için ileti göndermek için
Teyit için uzak veritabanı kimliği yerel veritabanında bulduğu önce ileti her iki yönde değiş tokuş gerekir.Doğrulama, yalnızca yerel veritabanının uzak veritabanının sertifika için doğru ortak anahtar varsa oluşabilir.
Görüşmeyi her iki tarafında tarafından gönderilen ilk ileti için Hizmet Aracısı aşağıdaki başlıkları içerir:
Ahizmet çifti the message. için kullanılan sertifikaları hakkında bilgi içeren güvenlik üstbilgisi Hizmet çifti güvenlik üstbilgisi hizmet sahibi olan kullanıcının özel anahtar ile imzalanır.
Aanahtar değişim anahtarı ileti. gövdesini şifrelemek için kullanılan 128-bit oturum anahtarı şifreler Anahtar değişim anahtarı, uzak kullanıcının ortak anahtarıyla şifrelenir.
Anonim güvenlik kullanan, iletişim kutuları için hizmet çifti güvenlik üstbilgisi şifresiz olarak kalır.İletinin hala şifrelenir ve anahtar değişim anahtarı hedef veritabanındaki güvenlik sorumlusu için ortak anahtarla şifrelenir.Bu durumda, ilk dönüş iletiye bir anahtar değişim anahtarı, hizmet çifti güvenlik üstbilgisi ve bir şifreli oturum anahtarı içermiyor.
Hizmet Aracısı kendisi (örneğin, bir hata veya bir bildirim) gelen bir iletiye yanıt olarak bir ileti oluşturur, bu iletiyi tam güvenlik veya anonim güvenlik iletişim kutusunu kullanıp ne olursa olsun gelen ileti oturum anahtarını kullanır.
See Also