İletişim güvenlik sertifikaları

Görüşme başladığında Hizmet Aracısı konuşmada kullanılacak sertifika bulmak için Uzak hizmet bağlantılarını kullanır.Bu konuda Hizmet Aracısı konuşma için kullanılacak sertifika nasıl belirlediği açıklanır.

Bir iletişim kutusu için sertifikayı bulma

Hizmet Aracısı ilk görüşme için uzak hizmet bağlaması bulur ve ardından bağlamada belirtilen kullanıcının sahip olduğu bir sertifika seçer.

Bağlama bulmak için Hizmet Aracısı konuşma için hedef hizmet adı belirtir bir bağlama için veritabanını denetler.

Bir sertifika seçmek için Hizmet Aracısı sertifika, uzak hizmet bağlaması içinde belirtilen kullanıcı tarafından sahip olunan en sona erme tarih ile bulur.Hizmet Aracısı sertifika henüz geçerli değil, süresi dolan veya, başlangıç iletişim kutusu için kullanılabilir olarak işaretlenmemiş dikkate almaz.Sertifikalar hakkında daha fazla bilgi için bkz: Sertifika (Transact-SQL) oluştur.

uzak hizmet bağlaması yok ya da geçerli bir kullanıcı uzak hizmet bağlaması için kendi sertifika Hizmet Aracısı konuşma için iletileri şifrelemek, başlangıç iletişim için kullanılabilir.Hiçbir bağlama ve Broker Yapılandırma hizmeti veritabanını içeren, Hizmet Aracısı hizmet üzerinden bağlama ister.Şifreleme on ya da off şifreleme ise, şifreleme olmadan devam eder veritabanında Broker Yapılandırma hizmeti yoktur veya uzak hizmet bağlaması Broker Yapılandırma hizmeti sağlamaz, konuşma gecikir.Daha fazla bilgi için bkz: İletişim güvenlik türünü belirleme.

Uzak yetkilendirme ve iletişim güvenliği

Hizmet Aracısı iletişim güvenlik sertifikaları uzak yetkilendirme için kullanır.Bir iletişim kutusu iletişim güvenliği kullandığında, konuşmadaki her katılımcı tarafından gönderilen ilk ileti başlık bilgilerini gönderen kullanıcının özel anahtar ile şifrelenir ve alan kullanıcının ortak anahtarıyla şifrelenen başlık bilgilerini içerir.İletinin içeriği, bir oturum anahtar ile şifrelenir.Oturum anahtar şifrelenir ve yalnızca alıcı kullanıcı için özel anahtar kullanılarak geri yüklenebilir.

Alıcı iletinin başarıyla iletinin şifresini çözebilir, karşılık gelen anahtarları alıcısına sahip olur ve bu her birinin kimliğini doğrular demektir katılımcı görüşmesinde.Bir veritabanı içinde bir sertifika yükleme özel anahtar bulunduran veritabanı ile bir güven ilişkisi oluşturur.

Yani özel bir başlıkla şifreleme anahtar yerel kullanıcı soru soran için "uzak veritabanı yerel veritabanı güveniyor mu?" Uzak veritabanı veritabanına karşılık gelen ortak anahtar içeren, yalnızca üstbilgi şifresini çözebilir."Yerel veritabanı uzak veritabanına güveniyor mu?" sorusu, ister bir başlığı ile uzak veritabanında bir kullanıcı için ortak anahtar şifreleme Uzak veritabanı veritabanına karşılık gelen özel anahtar içeriyorsa, yalnızca üstbilgi şifresini çözebilir.Hizmet Aracısı güvenlik ve verimlilik için aynı anda her iki soruyu soran saat.Böylece alıcı iletiyi doğru yanıtlamak için her iki soruyu belirtmiş olursunuz olması gerekir, ancak ileti yapılandırılmıştır.

Bu stratejinin arkasında düşünme basit bir işlemdir.Yerel veritabanındaki özel anahtar ile şifrelenmiş bir üstbilgi uzak veritabanı şifresini çözebilir, uzak veritabanına karşılık gelen ortak anahtarı içeren ve uzak veritabanı yerel veritabanına güvenir.Yerel veritabanındaki bir ortak anahtar ile şifrelenmiş bir üstbilgi uzak veritabanı şifresini çözebilir, uzak veritabanına karşılık gelen özel anahtarı içerir ve uzak veritabanı yerel veritabanına güvenir.Özel anahtarları gizli kaldığı sürece, yalnızca iki veritabanları görüşmeye katılan başarıyla görüşme için ileti değiş tokuşunda bulunabilir.

Not

Yalnızca güvenilir kaynaklardan gelen sertifikaları yükleyin.Özel anahtarları dağıtabilirsiniz.

Tam iletişim güvenliği, ilk ileti alışverişi sırasında her iki yönde kimliğini doğrular.Anonim iletişim güvenliği kullanan görüşmeleri, başlatıcı hedef veritabanı beklenen özel anahtar içerdiğini doğrular.Ancak, anonim iletişim güvenliği ile hedef veritabanı başlatıcının kimliğini doğrulamaz; Bunun yerine, hedef hizmeti barındıran veritabanı izin gerekir ortak için hizmet iletileri göndermek için sabit veritabanı rolü.

Yerel veritabanı gerçekleştirilmediği için Uzak veritabanı kimliği bittiğini varsaymadan önce iletileri her iki yönde değişim yapılmalıdır.Doğrulama yalnızca yerel veritabanı sertifika uzak veritabanında için doğru ortak anahtar içeriyorsa gerçekleşebilir.

Her iki tarafında görüşme tarafından gönderilen ilk ileti için Hizmet Aracısı aşağıdaki başlıkları içerir:

  • A hizmet çifti iletide kullanılan sertifikalar hakkında bilgi içeren güvenlik üstbilgisi.Hizmet çifti güvenlik üstbilgisi hizmet sahibi olan kullanıcının özel anahtar ile imzalanır.

  • A anahtar değişim anahtarı ileti gövdesini şifrelemek için kullanılan 128 bit oturum anahtarı ile şifreler.Anahtar değişim anahtarı uzak kullanıcının ortak anahtarı ile şifrelenir.

Anonim güvenlik kullanan için iletişim kutuları, hizmet çifti güvenlik üstbilgisi şifresiz olarak kalır.İletiyi hala şifrelenir ve anahtar değişim anahtarı hedef veritabanındaki güvenlik sorumlusu için ortak anahtarıyla şifrelenir.Bu durum, önce ileti içermeyen bir anahtar değişim anahtarı, hizmet çifti güvenlik üstbilgisi veya şifreli oturum anahtarı döndürün.

Hizmet Aracısı kendisi yanıt ileti oturum kullanır gelen ileti (örneğin, bir hata veya bir alındı bildirimi) olarak bir ileti oluşturduğunda anahtar tam güvenlik veya anonim güvenlik iletişim kutusunu kullanıp bakılmaksızın gelen iletinin.