Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Oracle Secure Sockets Layer
Um die SSL-Verschlüsselung für eine DB-Instance von RDS für Oracle zu aktivieren, fügen Sie der Optionsgruppe die Option „Oracle SSL“ hinzu, die der DB-Instance zugeordnet ist. Amazon RDS verwendet einen zweiten Port, wie von Oracle gefordert, für SSL-Verbindungen. Dank dieser Herangehensweise ist gleichzeitig sowohl Klartext- als auch SSL-verschlüsselte Kommunikation zwischen einer DB-Instance und SQL*Plus möglich. Sie können z. B. den Port mit Klartext-Kommunikation verwenden, um mit anderen Ressourcen innerhalb einer VPC zu kommunizieren, und den Port mit SSL-verschlüsselter Kommunikation, um mit Ressourcen außerhalb der VPC zu kommunizieren.
Anmerkung
Sie können entweder SSL oder Native Network Encryption (NNE) in derselben DB-Instance von RDS für Oracle verwenden, aber nicht beide. Bei Nutzung der SSL-Verschlüsselung müssen alle anderen Optionen für die Verbindungsverschlüsselung deaktiviert werden. Weitere Informationen finden Sie unter Oracle Native Network Encryption.
SSL/TLS und NNE sind nicht mehr Teil von Oracle Advanced Security. In RDS für Oracle können Sie die SSL-Verschlüsselung mit allen lizensierten Editionen der folgenden Oracle-Datenbankversionen verwenden:
-
Oracle Database 21c (21.0.0)
-
Oracle Database 19c (19.0.0)
Themen
TLS-Versionen für die Oracle SSL-Option
Amazon RDS für Oracle unterstützt jetzt Transport Layer Security (TLS) in den Versionen 1.0 und 1.2. Wenn Sie eine neue Oracle-SSL-Option hinzufügen, weisen Sie SQLNET.SSL_VERSION ausdrücklich einen gültigen Wert zu. Die folgenden Werte sind für diese Optionseinstellung zulässig:
-
"1.0": Clients können die Verbindung zur DB-Instance nur mit TLS-Version 1.0 herstellen. Für vorhandene Oracle SSL-Optionen wirdSQLNET.SSL_VERSIONautomatisch auf"1.0"eingestellt. Sie können die Einstellung bei Bedarf ändern. -
"1.2": Clients können die Verbindung zur DB-Instance nur mit TLS 1.2 herstellen. -
"1.2 or 1.0": Clients können die Verbindung zur DB-Instance mit TLS 1.2 oder 1.0 herstellen.
Cipher Suites für die Oracle SSL-Option
Amazon RDS für Oracle unterstützt mehrere SSL Cipher Suites. Standardmäßig ist die Oracle SSL-Option für die Verwendung der SSL_RSA_WITH_AES_256_CBC_SHA Cipher Suite konfiguriert. Verwenden Sie zum Angeben einer andere Cipher Suite für SSL-Verbindungen die Optionseinstellung SQLNET.CIPHER_SUITE.
Sie können mehrere Werte für SQLNET.CIPHER_SUITE angeben. Diese Technik ist hilfreich, wenn sich Datenbanklinks zwischen Ihren DB-Instances befinden und Sie beschließen, Ihre Cipher Suites zu aktualisieren.
In der folgenden Tabelle wird die SSL-Unterstützung für RDS für Oracle in allen Editionen von Oracle Database 19c und 21c zusammengefasst.
| Verschlüsselungssuite (SQLNET.CIPHER_SUITE) | Unterstützung für TLS-Versionen (SQLNET.SSL_VERSION) | FIPS-Unterstützung | FedRAMP-konform |
|---|---|---|---|
| SSL_RSA_WITH_AES_256_CBC_SHA (Standard) | 1.0 und 1.2 | Ja | Nein |
| SSL_RSA_MIT_AES_256_CBC_ SHA256 | 1.2 | Ja | Nein |
| SSL_RSA_MIT_AES_256_GCM_ SHA384 | 1.2 | Ja | Nein |
| TLS_ECDHE_RSA_MIT_AES_256_GCM_ SHA384 | 1.2 | Ja | Ja |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 | 1.2 | Ja | Ja |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 | 1.2 | Ja | Ja |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 | 1.2 | Ja | Ja |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | 1.2 | Ja | Ja |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | 1.2 | Ja | Ja |
| TLS_ECDHE_ECDSA_MIT_AES_256_GCM_ SHA384 | 1.2 | Ja | Ja |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA384 | 1.2 | Ja | Ja |
FIPS-Unterstützung
RDS für Oracle ermöglicht es Ihnen, den Federal Information Processing Standard (FIPS)-Standard für 140-2 zu verwenden. Bei FIPS 140-2 handelt es sich um einen Standard der Regierung der Vereinigten Staaten, der die Sicherheitsanforderungen für kryptografische Module definiert. Sie aktivieren den FIPS-Standard, indem Sie die Einstellung FIPS.SSLFIPS_140 für die Oracle-SSL-Option auf TRUE festlegen. Wenn FIPS 140-2 für SSL konfiguriert ist, verschlüsseln die kryptografischen Bibliotheken die Daten zwischen dem Client und der DB-Instance von RDS für Oracle.
Clients müssen die Verschlüsselungssammlung verwenden, die FIPS-konform ist. Beim Herstellen einer Verbindung verhandeln der Client und die DB-Instance von RDS für Oracle, welche Verschlüsselungssammlung verwendet werden soll, wenn Nachrichten hin und her übertragen werden. Die Tabelle in Cipher Suites für die Oracle SSL-Option zeigt die FIPS-konformen SSL-Verschlüsselungssuites für jede TLS-Version. Weitere Informationen finden Sie unter Oracle Database FIPS 140-2-Einstellungen
Kompatibilität von Zertifikaten mit Cipher Suites
RDS für Oracle unterstützt sowohl RSA- als auch ECDSA-Zertifikate (Elliptic Curve Digital Signature Algorithm) für DSA-Zertifikate (Elliptic Curve Digital Signature Algorithm) Wenn Sie SSL für Ihre DB-Instance konfigurieren, müssen Sie sicherstellen, dass die Verschlüsselungssammlungen, die Sie in der Optionseinstellung SQLNET.CIPHER_SUITE angeben, mit dem von Ihrer DB-Instance verwendeten Zertifikatstyp kompatibel sind.
In der folgenden Tabelle wird die Kompatibilität zwischen Zertifikatstypen und Verschlüsselungssammlungen dargestellt:
| Zertifikatstyp | Kompatible Verschlüsselungs-Suiten | Inkompatible Verschlüsselungssammlungen |
|---|---|---|
| RSA-Zertifikate (rds-ca-2019, 2048-g1, 4096-g1) rds-ca-rsa rds-ca-rsa |
SSL_RSA_WITH_AES_256_CBC_SHA SSL_RSA_WITH_AES_256_CBC_ SHA256 SSL_RSA_MIT_AES_256_GCM_ SHA384 TLS_ECDHE_RSA_MIT_AES_256_GCM_ SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
TLS_ECDHE_ECDSA_MIT_AES_256_GCM_ SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA384 |
| ECDSA-Zertifikate (384-g1) rds-ca-ecc |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA384 |
SSL_RSA_WITH_AES_256_CBC_SHA SSL_RSA_MIT_AES_256_CBC_ SHA256 SSL_RSA_MIT_AES_256_GCM_ SHA384 TLS_ECDHE_RSA_MIT_AES_256_GCM_ SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
Wenn Sie in der Optionseinstellung SQLNET.CIPHER_SUITE mehrere Verschlüsselungssammlungen angeben, müssen Sie sicherstellen, dass Sie mindestens eine Verschlüsselungssammlung angeben, die mit dem von Ihrer DB-Instance verwendeten Zertifikatstyp kompatibel ist. Wenn Sie eine Optionsgruppe mit mehreren DB-Instances mit unterschiedlichen Zertifikatstypen verwenden, fügen Sie mindestens eine Verschlüsselungssammlung für jeden Zertifikatstyp hinzu.
Wenn Sie versuchen, eine Optionsgruppe mit einer SSL-Option zu verknüpfen, die nur Verschlüsselungssammlungen enthält, die mit dem Zertifikatstyp einer DB-Instance nicht kompatibel sind, schlägt der Vorgang fehl und es wird eine Fehlermeldung angezeigt, die auf die Inkompatibilität hinweist.
