Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Oracle Secure Sockets Layer
<a name="Appendix.Oracle.Options.SSL"></a>

Um die SSL-Verschlüsselung für eine DB-Instance von RDS für Oracle zu aktivieren, fügen Sie der Optionsgruppe die Option „Oracle SSL“ hinzu, die der DB-Instance zugeordnet ist. Amazon RDS verwendet einen zweiten Port, wie von Oracle erforderlich, für SSL-Verbindungen. Durch diesen Ansatz können sowohl Klartext als auch SSL-encrypted Kommunikation zwischen einer DB-Instance und SQL\*Plus gleichzeitig stattfinden. Sie können beispielsweise den Port mit Klartext-Kommunikation verwenden, um mit anderen Ressourcen innerhalb einer VPC zu kommunizieren, während Sie den Port mit SSL-encrypted Kommunikation für die Kommunikation mit Ressourcen außerhalb der VPC verwenden.

**Anmerkung**  
Sie können entweder SSL oder Native Network Encryption (NNE) in derselben DB-Instance von RDS für Oracle verwenden, aber nicht beide. Bei Nutzung der SSL-Verschlüsselung müssen alle anderen Optionen für die Verbindungsverschlüsselung deaktiviert werden. Weitere Informationen finden Sie unter [Oracle Native Network Encryption](Appendix.Oracle.Options.NetworkEncryption.md).

SSL/TLS und NNE sind nicht mehr Teil von Oracle Advanced Security. In RDS für Oracle können Sie die SSL-Verschlüsselung mit allen lizensierten Editionen der folgenden Oracle-Datenbankversionen verwenden:
+ Oracle Database 21c (21.0.0)
+ Oracle Database 19c (19.0.0)

**Topics**
+ [TLS-Versionen für die Oracle SSL-Option](#Appendix.Oracle.Options.SSL.TLS)
+ [Cipher Suites für die Oracle SSL-Option](#Appendix.Oracle.Options.SSL.CipherSuites)
+ [FIPS-Unterstützung](#Appendix.Oracle.Options.SSL.FIPS)
+ [Kompatibilität von Zertifikaten mit Cipher Suites](#Appendix.Oracle.Options.SSL.CertificateCompatibility)
+ [Hinzufügen der SSL-Option](Appendix.Oracle.Options.SSL.OptionGroup.md)
+ [Konfigurieren von SQL\*Plus für die Verwendung von SSL mit einer DB-Instance von RDS für Oracle](Appendix.Oracle.Options.SSL.ClientConfiguration.md)
+ [Herstellen der Verbindung mit einer DB-Instance von RDS für Oracle mit SSL](Appendix.Oracle.Options.SSL.Connecting.md)
+ [Einrichten einer SSL-Verbindung über JDBC](Appendix.Oracle.Options.SSL.JDBC.md)
+ [Erzwingen einer DN-Übereinstimmung mit einer SSL-Verbindung](Appendix.Oracle.Options.SSL.DNMatch.md)
+ [Fehlerbehebung bei SSL-Verbindungen](Appendix.Oracle.Options.SSL.troubleshooting.md)

## TLS-Versionen für die Oracle SSL-Option
<a name="Appendix.Oracle.Options.SSL.TLS"></a>

Amazon RDS für Oracle unterstützt jetzt Transport Layer Security (TLS) in den Versionen 1.0 und 1.2. Wenn Sie eine neue Oracle-SSL-Option hinzufügen, weisen Sie `SQLNET.SSL_VERSION` ausdrücklich einen gültigen Wert zu. Die folgenden Werte sind für diese Optionseinstellung zulässig:
+ `"1.0"`: Clients können die Verbindung zur DB-Instance nur mit TLS-Version 1.0 herstellen. Für vorhandene Oracle SSL-Optionen wird `SQLNET.SSL_VERSION` automatisch auf `"1.0"` eingestellt. Sie können die Einstellung bei Bedarf ändern.
+ `"1.2"`: Clients können die Verbindung zur DB-Instance nur mit TLS 1.2 herstellen.
+ `"1.2 or 1.0"`: Clients können die Verbindung zur DB-Instance mit TLS 1.2 oder 1.0 herstellen.

## Cipher Suites für die Oracle SSL-Option
<a name="Appendix.Oracle.Options.SSL.CipherSuites"></a>

Amazon RDS für Oracle unterstützt mehrere SSL Cipher Suites. Standardmäßig ist die Oracle SSL-Option für die Verwendung der `SSL_RSA_WITH_AES_256_CBC_SHA` Cipher Suite konfiguriert. Verwenden Sie zum Angeben einer andere Cipher Suite für SSL-Verbindungen die Optionseinstellung `SQLNET.CIPHER_SUITE`.

Sie können mehrere Werte für `SQLNET.CIPHER_SUITE` angeben. Diese Technik ist hilfreich, wenn sich Datenbanklinks zwischen Ihren DB-Instances befinden und Sie beschließen, Ihre Cipher Suites zu aktualisieren.

In der folgenden Tabelle wird die SSL-Unterstützung für RDS für Oracle in allen Editionen von Oracle Database 19c und 21c zusammengefasst.


| Verschlüsselungssuite (\_SUITE) SQLNET.CIPHER | Unterstützung für TLS-Versionen (\_VERSION) SQLNET.SSL | FIPS-Unterstützung | FedRAMP-konform | 
| --- | --- | --- | --- | 
| SSL\_RSA\_WITH\_AES\_256\_CBC\_SHA (Standard) | 1.0 und 1.2 | Ja | Nein | 
| SSL\_RSA\_WITH\_AES\_256\_CBC\_SHA256 | 1.2 | Ja | Nein | 
| SSL\_RSA\_WITH\_AES\_256\_GCM\_SHA384 | 1.2 | Ja | Nein | 
| TLS\_ECDHE\_RSA\_WITH\_AES\_256\_GCM\_SHA384 | 1.2 | Ja | Ja | 
| TLS\_ECDHE\_RSA\_WITH\_AES\_128\_GCM\_SHA256 | 1.2 | Ja | Ja | 
| TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA384 | 1.2 | Ja | Ja | 
| TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA256 | 1.2 | Ja | Ja | 
| TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA | 1.2 | Ja | Ja | 
| TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA | 1.2 | Ja | Ja | 
| TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_GCM\_SHA384 | 1.2 | Ja | Ja | 
| TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_CBC\_SHA384 | 1.2 | Ja | Ja | 

## FIPS-Unterstützung
<a name="Appendix.Oracle.Options.SSL.FIPS"></a>

RDS für Oracle ermöglicht es Ihnen, den Federal Information Processing Standard (FIPS)-Standard für 140-2 zu verwenden. Bei FIPS 140-2 handelt es sich um einen Standard der Regierung der Vereinigten Staaten, der die Sicherheitsanforderungen für kryptografische Module definiert. Sie aktivieren den FIPS-Standard, indem Sie die Einstellung `FIPS.SSLFIPS_140` für die Oracle-SSL-Option auf `TRUE` festlegen. Wenn FIPS 140-2 für SSL konfiguriert ist, verschlüsseln die kryptografischen Bibliotheken die Daten zwischen dem Client und der DB-Instance von RDS für Oracle.

Clients müssen also die Cipher Suite verwenden. FIPS-compliant Beim Herstellen einer Verbindung verhandeln der Client und die DB-Instance von RDS für Oracle, welche Verschlüsselungssammlung verwendet werden soll, wenn Nachrichten hin und her übertragen werden. Die Tabelle in [Cipher Suites für die Oracle SSL-Option](#Appendix.Oracle.Options.SSL.CipherSuites) zeigt die FIPS-compliant SSL-Verschlüsselungssammlungen für jede TLS-Version. Weitere Informationen finden Sie unter [Oracle Database FIPS 140-2-Einstellungen](https://docs.oracle.com/en/database/oracle/oracle-database/12.2/dbseg/oracle-database-fips-140-settings.html#GUID-DDBEB3F9-B216-44BB-8C18-43B5E468CBBB) in der Oracle Database-Dokumentation.

## Kompatibilität von Zertifikaten mit Cipher Suites
<a name="Appendix.Oracle.Options.SSL.CertificateCompatibility"></a>

RDS für Oracle unterstützt sowohl RSA- als auch ECDSA-Zertifikate (Elliptic Curve Digital Signature Algorithm) für DSA-Zertifikate (Elliptic Curve Digital Signature Algorithm) Wenn Sie SSL für Ihre DB-Instance konfigurieren, müssen Sie sicherstellen, dass die Verschlüsselungssammlungen, die Sie in der Optionseinstellung `SQLNET.CIPHER_SUITE` angeben, mit dem von Ihrer DB-Instance verwendeten Zertifikatstyp kompatibel sind.

In der folgenden Tabelle wird die Kompatibilität zwischen Zertifikatstypen und Verschlüsselungssammlungen dargestellt:


| Zertifikatstyp | Kompatible Verschlüsselungs-Suiten | Inkompatible Verschlüsselungs-Suiten | 
| --- | --- | --- | 
| RSA-Zertifikate (rds-ca-2019, rds-ca-rsa2048-g1, rds-ca-rsa4096-g1) | SSL\_RSA\_WITH\_AES\_256\_CBC\_SHA<br />SSL\_RSA\_WITH\_AES\_256\_CBC\_SHA256<br />SSL\_RSA\_WITH\_AES\_256\_GCM\_SHA384<br />TLS\_ECDHE\_RSA\_WITH\_AES\_256\_GCM\_SHA384<br />TLS\_ECDHE\_RSA\_WITH\_AES\_128\_GCM\_SHA256<br />TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA384<br />TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA256<br />TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA<br />TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA | TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_GCM\_SHA384<br />TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_CBC\_SHA384 | 
| ECDSA-Zertifikate (rds-ca-ecc384-g1) | TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_GCM\_SHA384<br />TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_CBC\_SHA384 | SSL\_RSA\_WITH\_AES\_256\_CBC\_SHA<br />SSL\_RSA\_WITH\_AES\_256\_CBC\_SHA256<br />SSL\_RSA\_WITH\_AES\_256\_GCM\_SHA384<br />TLS\_ECDHE\_RSA\_WITH\_AES\_256\_GCM\_SHA384<br />TLS\_ECDHE\_RSA\_WITH\_AES\_128\_GCM\_SHA256<br />TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA384<br />TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA256<br />TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA<br />TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA | 

Wenn Sie in der Optionseinstellung `SQLNET.CIPHER_SUITE` mehrere Verschlüsselungssammlungen angeben, müssen Sie sicherstellen, dass Sie mindestens eine Verschlüsselungssammlung angeben, die mit dem von Ihrer DB-Instance verwendeten Zertifikatstyp kompatibel ist. Wenn Sie eine Optionsgruppe mit mehreren DB-Instances mit unterschiedlichen Zertifikatstypen verwenden, fügen Sie mindestens eine Verschlüsselungssammlung für jeden Zertifikatstyp hinzu.

Wenn Sie versuchen, eine Optionsgruppe mit einer SSL-Option zu verknüpfen, die nur Verschlüsselungssammlungen enthält, die mit dem Zertifikatstyp einer DB-Instance nicht kompatibel sind, schlägt der Vorgang fehl und es wird eine Fehlermeldung angezeigt, die auf die Inkompatibilität hinweist.