Certyfikaty dla okna dialogowego zabezpieczeń

Lokalizowanie certyfikat dla okna dialogowego

Najpierw lokalizuje usługa Broker a wiązanie usługa zdalnej konwersacji, a następnie wybiera certyfikat posiadane przez użytkownika określonego w wiązaniu.

Aby znaleźć wiązanie, usługa Broker sprawdza bazy danych do wiązania, która określa miejsce docelowe nazwa usługa dla komunikacji.

Aby wybrać certyfikat, usługa Broker znajduje się certyfikat z najnowszą data ważności, którego właścicielem jest użytkownik określony w wiązanie usługa zdalnej.usługa Broker nie bierze pod uwagę certyfikaty, które nie są jeszcze ważne, które wygasły lub nie zostały oznaczone jako możliwe do okna dialogowego początkowy.Aby uzyskać więcej informacji na temat certyfikatów Zobacz CREATE certyfikat (języka Transact-SQL).

wiązanie usługi zdalnej nie istnieje lub użytkownik dla wiązanie usługi zdalnej nie jest właścicielem ważny certyfikat, który jest dostępna w początkowym oknie dialogowym, usługa Broker nie można zaszyfrować wiadomości w konwersacji.Jeśli nie ma żadnych wiązanie i baza danych zawiera usługa Konfiguracja Broker, usługa Broker żądań wiązanie za pomocą tej usługa.Jeśli w bazie danych nie istnieje żadne usługa konfiguracja Broker lub usługa konfiguracja Broker nie zapewnia wiązanie usługi zdalnej, konwersacji jest opóźnione szyfrowanie jest włączone, czy jest kontynuowany bez szyfrowania, jeśli szyfrowanie jest wyłączona.Aby uzyskać więcej informacji zobacz Określanie typu okna dialogowego zabezpieczeń.

Zdalne autoryzacja i okno dialogowe Zabezpieczenia

Broker z okna dialogowego zabezpieczeń używa certyfikatów do zdalnego autoryzacja.Jeśli okno dialogowe używane są zabezpieczenia w oknie dialogowym, pierwszą wiadomością wysłaną przez każdego uczestnik konwersacji zawiera informacje nagłówka szyfrowane przy użyciu klucz prywatnego użytkownika wysyłającego i zaszyfrowane kluczem publicznym użytkownika odbierający informacje nagłówka.Zawartość wiadomości są szyfrowane przy użyciu klucz sesja.Sam klucz sesja jest szyfrowany i można jedynie odzyskać przy użyciu klucza prywatnego dla użytkownika odbiorczego.

Jeśli adresat wiadomości może pomyślnie odszyfrować wiadomość, oznacza to, że adresat posiada odpowiednie klucze i to służy do potwierdzania tożsamości każdego uczestnik konwersacji.Instalowanie certyfikat w bazie danych tworzy relację zaufania z bazą danych, który przechowuje klucz prywatny.

W efekcie szyfrowanie nagłówka przy użyciu klucz prywatnego dla użytkownika lokalnego zadaje pytanie „ czy zdalnej bazy danych zaufanie lokalnej bazy danych? „ Zdalnej bazy danych mogą odszyfrować tylko nagłówek, jeśli baza danych zawiera odpowiedniego klucz publicznego. Szyfrowanie nagłówka z kluczem publicznym użytkownika w bazie danych zdalnego zadaje pytanie „ czy lokalnej bazy danych zaufanie zdalnej bazy danych? „ Zdalnej bazy danych mogą odszyfrować tylko nagłówek, jeśli baza danych zawiera odpowiedni klucz prywatny. Dla bezpieczeństwa i wydajności usługa Broker zadaje zarówno pytania w tym samym czasie.Jednak wiadomości ma strukturę, aby adresat musi mieć możliwość potwierdzają zarówno pytania, aby odpowiedzieć na wiadomość poprawnie.

Rozumowanie za tej strategii jest proste.Jeśli zdalna baza danych może odszyfrować nagłówek zaszyfrowane przy użyciu klucz prywatnego w lokalnej bazie danych, zdalna baza danych zawiera odpowiedniego klucz publicznego i bazy danych zdalnego ufa lokalnej bazy danych.Jeśli zdalna baza danych może odszyfrować zaszyfrowane kluczem publicznym w lokalnej bazie danych nagłówka, zdalna baza danych zawiera odpowiedni klucz prywatny i lokalnej bazy danych ufa zdalnej bazy danych.Tak długo, jak klucze prywatne pozostają poufne, tylko dwóch baz biorących udział w konwersacji pomyślnie może wymieniać wiadomości w konwersacji.

Pełne okno dialogowe zabezpieczeń weryfikuje tożsamość w obu kierunkach podczas pierwszego wymiany wiadomości.Dla konwersacji używać anonimowego okno dialogowe zabezpieczeń inicjator sprawdza, czy miejsce docelowe baza danych zawiera oczekiwanego klucz prywatnego.Jednak przy anonimowym okna dialogowego zabezpieczeń miejsce docelowe bazy danych nie weryfikuje tożsamości inicjatora; zamiast tego, obsługującej usługa miejsce docelowe bazy danych musi umożliwiać publiczne stała rola bazy danych do wysyłania wiadomości do usługa.

Wiadomości muszą być wymieniane obu sposobów zanim uzna tożsamości zdalnej bazy danych zostanie potwierdzona, lokalną bazę danych.Weryfikacja tylko może się zdarzyć, jeśli lokalna baza danych zawiera poprawny klucz publiczny certyfikat w zdalnej bazie danych.

Pierwszą wiadomością wysłaną przez każdą stronę konwersacji usługa Broker zawiera następujące nagłówków:

• A para usługa nagłówka zabezpieczeń zawierający informacje na temat certyfikatów, używany dla wiadomości.Nagłówek zabezpieczeń usługa pary jest podpisany za pomocą klucz prywatnego dla użytkownika, który jest właścicielem tej usługa.

• A klucz wymiany kluczy , szyfruje klucz sesja 128-bitowego, używany do szyfrowania treści wiadomości.Klucz wymiany kluczy jest szyfrowany przy użyciu klucza publicznego dla zdalnego użytkownika.

Dla okien dialogowych, korzystających z zabezpieczeń anonimowe nagłówka zabezpieczeń usługa parę pozostaje bez szyfrowania.Wiadomości nadal są szyfrowane, a klucz wymiany kluczy jest szyfrowany przy użyciu klucza publicznego dla podmiotu zabezpieczeń w miejsce docelowe bazie danych.W tym przypadek pierwszy komunikat zwrotny nie zawiera klucz wymiany kluczy, nagłówka zabezpieczeń parę usługa lub kluczem sesja zaszyfrowanej.

Kiedy usługa Broker, sam generuje komunikat w odpowiedzi na wiadomość przychodząca (na przykład błąd lub potwierdzenia), wiadomości używa klucz sesja przychodzących wiadomości, niezależnie od tego, czy korzysta z okna dialogowego Zabezpieczenia pełne lub zabezpieczenia anonimowe.

See Also

Concepts

Other Resources