Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ändern der Einstellungen für ENCRYPTION die Option NATIVE NETWORK _ _
Nachdem Sie die Option NATIVE_NETWORK_ENCRYPTION aktiviert haben, können Sie ihre Einstellungen ändern. Derzeit können Sie NATIVE_NETWORK_ENCRYPTION Optionseinstellungen nur mit dem AWS CLI oder ändern RDSAPI. Die Konsole können Sie nicht verwenden. Im folgenden Beispiel werden zwei Einstellungen in der Option geändert.
aws rds add-option-to-option-group \ --option-group-name my-option-group \ --options "OptionName=NATIVE_NETWORK_ENCRYPTION,OptionSettings=[{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256},{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256}]" \ --apply-immediately
Informationen zum Ändern von Optionseinstellungen mithilfe der finden Sie CLI unterAWS CLI. Weitere Informationen zu den einzelnen Einstellungen finden Sie unter NATIVE_ NETWORK _ ENCRYPTION Optionseinstellungen.
CRYPTO_ CHECKSUM _*-Werte ändern
Wenn Sie die ENCRYPTION Optionseinstellungen NATIVENETWORK_ _ ändern, stellen Sie sicher, dass die folgenden Optionseinstellungen mindestens eine gemeinsame Chiffre haben:
-
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER -
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
Das folgende Beispiel zeigt ein Szenario, in dem Sie SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER ändern. Die Konfiguration ist gültig, da CRYPTO_CHECKSUM_TYPES_CLIENT und CRYPTO_CHECKSUM_TYPES_SERVER beide SHA256 verwenden.
| Optionseinstellung | Werte vor Änderung | Werte nach Änderung |
|---|---|---|
|
|
|
Keine Änderung |
|
|
|
SHA1,MD5,SHA256 |
Nehmen Sie für ein anderes Beispiel an, dass SieSQLNET.CRYPTO_CHECKSUM_TYPES_SERVERvon der Standardeinstellung aufSHA1,MD5aus. Stellen Sie in diesem Fall sicher, dass SieSQLNET.CRYPTO_CHECKSUM_TYPES_CLIENTaufSHA1oderMD5aus. Diese Algorithmen sind nicht in den Standardwerten fürSQLNET.CRYPTO_CHECKSUM_TYPES_CLIENTaus.
ALLOW_ WEAK _ CRYPTO *-Einstellungen ändern
Um die SQLNET.ALLOW_WEAK_CRYPTO*-Optionen vom Standardwert auf FALSE festzulegen, stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind:
-
SQLNET.ENCRYPTION_TYPES_SERVERundSQLNET.ENCRYPTION_TYPES_CLIENThaben eine passende sichere Verschlüsselungsmethode. Eine Methode gilt als sicher, wenn sie nichtDES,3DES, oderRC4(alle Schlüssellängen) ist. -
SQLNET.CHECKSUM_TYPES_SERVERundSQLNET.CHECKSUM_TYPES_CLIENThaben eine passende sichere Prüfsummierungs-Methode. Eine Methode gilt als sicher, wenn sie nichtMD5ist. -
Der Client ist mit dem Juli 2021 PSU gepatcht. Wenn der Client nicht gepatcht ist, verliert der Client die Verbindung und erhält den
ORA-12269-Fehler.
Das folgende Beispiel zeigt NNE Beispieleinstellungen. Gehen Sie davon aus, dass Sie SQLNET.ENCRYPTION_TYPES_SERVER und SQLNET.ENCRYPTION_TYPES_CLIENT auf FALSE einrichten und dadurch unsichere Verbindungen blockieren möchten. Die Einstellungen der Prüfsummenoption erfüllen die Voraussetzungen, da beide SHA256 haben. Allerdings. benutzen SQLNET.ENCRYPTION_TYPES_CLIENT und SQLNET.ENCRYPTION_TYPES_SERVER die DES-, 3DES-, und RC4-Verschlüsselungsmethoden, die nicht sicher sind. Um die SQLNET.ALLOW_WEAK_CRYPTO*-Optionen auf FALSE festzulegen, setzen Sie daher zuerst SQLNET.ENCRYPTION_TYPES_SERVER und SQLNET.ENCRYPTION_TYPES_CLIENT auf eine sichere Verschlüsselungsmethode wie AES256.
| Optionseinstellung | Werte |
|---|---|
|
|
|
|
|
SHA1,MD5,SHA256 |
|
|
|
|
|
|
