Ändern der Einstellungen der Option NATIVE_NETWORK_ENCRYPTION
Nachdem Sie die Option NATIVE_NETWORK_ENCRYPTION aktiviert haben, können Sie ihre Einstellungen ändern. Derzeit können Sie die Einstellungen der Option NATIVE_NETWORK_ENCRYPTION nur mit der AWS CLI oder der RDS-API ändern. Die Konsole können Sie nicht verwenden. Im folgenden Beispiel werden zwei Einstellungen in der Option geändert.
aws rds add-option-to-option-group \ --option-group-name my-option-group \ --options "OptionName=NATIVE_NETWORK_ENCRYPTION,OptionSettings=[{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256},{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256}]" \ --apply-immediately
Weitere Informationen über das Ändern von Optionseinstellungen über die CLI finden Sie unter AWS CLI. Weitere Informationen zu den einzelnen Einstellungen finden Sie unter Einstellungen der Option NATIVE_NETWORK_ENCRYPTION.
Ändern von CRYPTO_CHECKSUM_*-Werten
Wenn Sie die Einstellungen der Option NATIVE_NETWORK_ENCRYPTION ändern, vergewissern Sie sich, dass die folgenden Optionseinstellungen mindestens eine gemeinsame Verschlüsselung aufweisen:
-
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER -
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
Das folgende Beispiel zeigt ein Szenario, in dem Sie SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER ändern. Die Konfiguration ist gültig, da CRYPTO_CHECKSUM_TYPES_CLIENT und CRYPTO_CHECKSUM_TYPES_SERVER beide SHA256 verwenden.
| Optionseinstellung | Werte vor Änderung | Werte nach Änderung |
|---|---|---|
|
|
|
Keine Änderung |
|
|
|
SHA1,MD5,SHA256 |
Nehmen Sie für ein anderes Beispiel an, dass SieSQLNET.CRYPTO_CHECKSUM_TYPES_SERVERvon der Standardeinstellung aufSHA1,MD5aus. Stellen Sie in diesem Fall sicher, dass SieSQLNET.CRYPTO_CHECKSUM_TYPES_CLIENTaufSHA1oderMD5aus. Diese Algorithmen sind nicht in den Standardwerten fürSQLNET.CRYPTO_CHECKSUM_TYPES_CLIENTaus.
Ändern der Einstellungen von ALLOW_WEAK_CRYPTO*
Um die SQLNET.ALLOW_WEAK_CRYPTO*-Optionen vom Standardwert auf FALSE festzulegen, stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind:
-
SQLNET.ENCRYPTION_TYPES_SERVERundSQLNET.ENCRYPTION_TYPES_CLIENThaben eine passende sichere Verschlüsselungsmethode. Eine Methode gilt als sicher, wenn sie nichtDES,3DES, oderRC4(alle Schlüssellängen) ist. -
SQLNET.CHECKSUM_TYPES_SERVERundSQLNET.CHECKSUM_TYPES_CLIENThaben eine passende sichere Prüfsummierungs-Methode. Eine Methode gilt als sicher, wenn sie nichtMD5ist. -
Der Kunde wird mit dem Netzteil vom Juli 2021 gepatcht. Wenn der Client nicht gepatcht ist, verliert der Client die Verbindung und erhält den
ORA-12269-Fehler.
Das folgende Beispiel zeigt Beispiel-NNE-Einstellungen. Angenommen, Sie möchten SQLNET.ENCRYPTION_TYPES_SERVER und SQLNET.ENCRYPTION_TYPES_CLIENT auf FALSE festlegen und dadurch unsichere Verbindungen blockieren. Die Einstellungen der Prüfsummenoption erfüllen die Voraussetzungen, da beide SHA256 haben. Allerdings. benutzen SQLNET.ENCRYPTION_TYPES_CLIENT und SQLNET.ENCRYPTION_TYPES_SERVER die DES-, 3DES-, und RC4-Verschlüsselungsmethoden, die nicht sicher sind. Um die SQLNET.ALLOW_WEAK_CRYPTO*-Optionen auf FALSE festzulegen, setzen Sie daher zuerst SQLNET.ENCRYPTION_TYPES_SERVER und SQLNET.ENCRYPTION_TYPES_CLIENT auf eine sichere Verschlüsselungsmethode wie AES256.
| Optionseinstellung | Werte |
|---|---|
|
|
|
|
|
SHA1,MD5,SHA256 |
|
|
|
|
|
|
