Ov∞°ovßnφ identity SQL serveru v sφti

P°i provozu v rozlehl²ch sφtφch a p°i zpracovßnφ citliv²ch dat jsou pot°ebnΘ nßstroje, kterΘ klientovi poskytnou jistotu, ₧e se p°ipojuje na sprßvn² server. Lze si p°edstavit faleÜn² SQL server vystupujφcφ pod stejn²m jmΘnem jak prav² server a napodobujφcφ jeho Φinnost.

P°ipojenφ na sprßvn² server do jistΘ mφry zajistφ zaregistrovßnφ IP adresy serveru u klienta. P°i vynalo₧enφ jistΘho ·silφ vÜak faleÜn² server m∙₧e zneu₧φt IP adresu pravΘho serveru.

Metoda, kterß spolehliv∞ urΦφ identitu serveru, se opφrß o asymetrick² Üifrovacφ algoritmus. Server si vygeneruje sv∙j tajn² klφΦ a certifikßt obsahujφcφ ve°ejn² kliΦ. Certifikßt poskytne vÜem potencißlnφm klient∙m a tajn² kliΦ si uschovß pouze pro sebe. Pomocφ certifikßtu pak kter²koli klient m∙₧e zkontrolovat, zda komunikuje se serverem disponujφcφm odpovφdajφcφm tajn²m klφΦem.

Import certifikßtu a tajnΘho klφΦe na SQL server ze soubor∙

Importem certifikßtu a tajnΘho klφΦe na SQL server se zprovoznφ ov∞°ovßnφ jeho identity vÜemi klienty.

Certifikßt a tajn² klφΦ se importuje na strßnce Ov∞°ovßnφ identity serveru ve v∞tvi Parametry / Identifikace a bezpeΦnost na ╪φdicφ konzoli takto:

Zadejte jmΘno souboru s certifikßtem;
Stiskn∞te tlaΦφtko Importovat ze souboru;
Zadejte jmΘno souboru s tajn²m klφΦem;
Vypl≥te heslo ke klφΦi;
Stiskn∞te tlaΦφtko Importovat ze souboru a deÜifrovat.

Stejnß strßnka dovoluje exportovat certifikßt a tajn² klφΦ z SQL serveru do soubor∙. P°i exportu tajnΘho klφΦe se soubor zaÜifruje pomocφ zadanΘho hesla.

Manipulovat s certifikßtem a tajn²m klφΦem SQL serveru m∙₧e pouze jeho bezpeΦnostnφ sprßvce.

Import certifikßtu a tajnΘho klφΦe na SQL server z Windows NT/2000/XP

Nφ₧e popsan² postup vyu₧φvß pro manipulaci s tajn²m klφΦem CryptoAPI a ·lo₧iÜt∞ soukrom²ch klφΦ∙ na Windows. Postupujte takto:

Najd∞te certifikaΦnφ autoritu, kterß Vßm vystavφ certifikßt, a na jejφ webov²ch strßnkßch podle jejφho nßvodu si vygenerujte pßr klφΦ∙ a odeÜlete ₧ßdost o certifikaci.
Nechte si vystavit certifikßt.
Importujte certifikßt do Windows mezi vlastnφ certifikßty.
ProhlΘdn∞te si certifikßt a najd∞te v n∞m v sekci Majitel (Subject) °et∞zec znak∙, kter²m se tento certifikßt odliÜuje od vÜech ostatnφch vaÜich certifikßt∙.
Pokud jste certifikßt obdr₧eli v jinΘm ne₧ X.509 formßtu nebo jinΘm ne₧ DER k≤dovßnφ, pak certifikßt exportujte do souboru v tomto formßtu a k≤dovßnφ.
Na °φdicφ konzoli SQL serveru otev°ete strßnku Ov∞°ovßnφ identity serveru ve v∞tvi Parametry / Identifikace a bezpeΦnost.
Importujte certifikßt (vypl≥te jmΘno souboru s X.509 DER certifikßtem a stiskn∞te tlaΦφtko Importovat ze souboru).
P°evezm∞te tajn² klφΦ v Windows tak, ₧e vyplnφte °et∞zec znak∙ identifikujφcφ certifikßt a stisknete tlaΦφtko P°evzφt.

Ochrana tajnΘho klφΦe

Ov∞°enφ identity serveru je spolehlivΘ do tΘ mφry, do jakΘ je bezpeΦn∞ uschovßn jeho tajn² klφΦ. P°i odcizenφ tajnΘho klφΦe lze snadno vytvo°it faleÜn² server.

Tajn² kliΦ ulo₧en² v souboru je spolehliv∞ chrßn∞n heslem. Je vÜak nutno zvolit heslo, kterΘ nelze snadno uhßdnout, proto₧e nenφ obtφ₧nΘ vyzkouÜet na soubor s klφΦem °adu Φasto pou₧φvan²ch hesel.

Tajn² kliΦ ulo₧en² v databßzi nelze zjistit p°es klientskΘ rozhranφ serveru. Anal²zou databßzovΘho souboru by vÜak mohl b²t p°eΦten. Proto nenφ-li databßzov² soubor spolehliv∞ zajiÜt∞n proti p°eΦtenφ, je nutno jej zaÜifrovat.

Jak klient ov∞°uje identitu serveru?

Klient m∙₧e vyu₧φt t°i nßstroje k ov∞°enφ identity serveru:

Kdy₧ se klient poprvΘ p°ipojφ na urΦit² SQL server, stßhne si a ulo₧φ jeho certifikßt. P°i ka₧dΘm budoucφm p°ipojenφ se kontroluje, zda se komunikuje se stejn²m serverem, jak poprvΘ. Tento princip funguje zcela automaticky a je tφm zajiÜt∞n ka₧d² p°φstup na server krom∞ prvnφho.
Provozovatel SQL serveru m∙₧e mezi vÜechny potencißlnφ klienty publikovat tzv. miniaturu certifikßtu. Klient m∙₧e p°i prvnφm p°ipojenφ ov∞°it, zda server, na n∞j₧ se p°ipojil, mß shodnou miniaturu certifikßtu.
Klient m∙₧e ov∞°it, zda certifikßt, kter² od serveru zφskal, je podepsßn d∙v∞ryhodnou certifikaΦnφ autoritou.

Prozkoumat certifikßt sta₧en² ze vzdßlenΘho SQL serveru lze tak, ₧e se na ╪φdicφ konzoli otev°e strßnka p°φstupu klienta na server (zßlo₧ka Klientsk² p°φstup), v nφ se stiskne tlaΦφtko Certifikßt serveru a potΘ tlaΦφtko Zobrazit certifikßt. V okn∞ vlastnostφ certifikßtu jsou ·daje o vystaviteli, platnosti a takΘ miniatura certifikßtu.

ProblΘm s nov²m serverem stejnΘho jmΘna

Pokud se klient v minulosti p°ipojoval na SQL server urΦitΘho jmΘna a potΘ se chce p°ipojit na jin² server se stejn²m jmΘnem, pak systΘm ov∞°ovßnφ identity serveru spojenφ nepovolφ. Nov² server bude toti₧ pova₧ovßn za faleÜn² server p°edstφrajφcφ identitu starΘho serveru.

Aby klient mohl pracovat s nov²m serverem, musφ u sebe smazat certifikßt starΘho serveru. Slou₧φ k tomu ╪φdicφ konzole, zßlo₧ka Klientsk² p°φstup. Na strßnce odpovφdajφcφ serveru stiskn∞te tlaΦφtko Certifikßt serveru a potΘ tlaΦφtko Vymazat certifikßt.

Pokud naopak provozovatel SQL serveru pot°ebuje vytvo°it nov² server, kter²m nahradφ star² server, a chce se vyhnout problΘm∙m s ov∞°ovßnφm identity, pak musφ vybavit nov² server stejn²m certifikßtem a tajn²m klφΦem, jakΘ m∞l star² server. Pokud provozovatel tyto soubory ji₧ nemß, m∙₧e je zφskat exportem ze starΘho serveru.

Vzdßlen² p°φstup klienta na server

Komunikace mezi klientem a serverem a sφovΘ protokoly

Šifrovßnφ sφovΘ komunikace mezi klientem a serverem