Einstellungen der Option NATIVE_NETWORK_ENCRYPTION - Amazon Relational Database Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einstellungen der Option NATIVE_NETWORK_ENCRYPTION

Sie können Verschlüsselungsanforderungen sowohl auf dem Server als auch auf dem Client angeben. Die DB-Instance kann als Client fungieren, wenn sie beispielsweise einen Datenbanklink verwendet, um eine Verbindung mit einer anderen Datenbank herzustellen. Möglicherweise möchten Sie vermeiden, dass die Verschlüsselung auf der Serverseite erzwungen wird. Beispielsweise möchten Sie möglicherweise nicht alle Clientkommunikationen dazu zwingen, die Verschlüsselung zu verwenden, da der Server dies erfordert. In diesem Fall können Sie die Verschlüsselung auf der Clientseite mit demSQLNET.*CLIENT-Optionen.

Amazon RDS unterstützt die folgenden Einstellungen für die Option NATIVE_NETWORK_ENCRYPTION.

Anmerkung

Wenn Sie Werte für eine Optionseinstellung durch Kommas trennen, setzen Sie kein Leerzeichen nach dem Komma.

Optionseinstellung Zulässige Werte Standardwerte Beschreibung

SQLNET.ALLOW_WEAK_CRYPTO_CLIENTS

TRUE, FALSE

TRUE

Das Verhalten des Servers, wenn ein Client, der eine nicht sichere Chiffre verwendet, versucht, sich mit der Datenbank zu verbinden. Wenn TRUE, können Clients eine Verbindung herstellen, auch wenn sie nicht mit dem Gerät vom Juli 2021 gepatcht sind.

Wenn die Einstellung FALSE lautet, können sich Clients nur dann mit der Datenbank verbinden, wenn sie mit dem Netzteil vom Juli 2021 gepatcht werden. Bevor Sie SQLNET.ALLOW_WEAK_CRYPTO_CLIENTS auf FALSE festlegen, stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind:

  • SQLNET.ENCRYPTION_TYPES_SERVER und SQLNET.ENCRYPTION_TYPES_CLIENT haben eine übereinstimmende Verschlüsselungsmethode, die nicht DES, 3DES, oder RC4 (alle Schlüssellängen) ist.

  • SQLNET.CHECKSUM_TYPES_SERVER und SQLNET.CHECKSUM_TYPES_CLIENT haben eine passende sichere Prüfsummierungs-Methode, die nicht MD5 ist.

  • Der Kunde wird mit dem Netzteil vom Juli 2021 gepatcht. Wenn der Client nicht gepatcht ist, verliert der Client die Verbindung und erhält den ORA-12269-Fehler.

SQLNET.ALLOW_WEAK_CRYPTO

TRUE, FALSE

TRUE

Das Verhalten des Servers, wenn ein Client, der eine nicht sichere Chiffre verwendet, versucht, sich mit der Datenbank zu verbinden. Die folgenden Chiffren gelten als nicht sicher:

  • DES-Verschlüsselungsmethode (alle Schlüssellängen)

  • 3DES-Verschlüsselungsmethode (alle Schlüssellängen)

  • RC4-Verschlüsselungsmethode (alle Schlüssellängen)

  • MD5-Prüfsummierungs-Methode

Wenn die Einstellung TRUE lautet, können Clients eine Verbindung herstellen, wenn sie die vorhergehenden nicht sicheren Chiffren verwenden.

Wenn die Einstellung FALSE lautet, verhindert die Datenbank, dass Clients eine Verbindung herstellen, wenn sie die vorhergehenden nicht sicheren Chiffren verwenden. Bevor Sie SQLNET.ALLOW_WEAK_CRYPTO auf FALSE festlegen, stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind:

  • SQLNET.ENCRYPTION_TYPES_SERVER und SQLNET.ENCRYPTION_TYPES_CLIENT haben eine übereinstimmende Verschlüsselungsmethode, die nicht DES, 3DES, oder RC4 (alle Schlüssellängen) ist.

  • SQLNET.CHECKSUM_TYPES_SERVER und SQLNET.CHECKSUM_TYPES_CLIENT haben eine passende sichere Prüfsummierungs-Methode, die nicht MD5 ist.

  • Der Kunde wird mit dem Netzteil vom Juli 2021 gepatcht. Wenn der Client nicht gepatcht ist, verliert der Client die Verbindung und erhält den ORA-12269-Fehler.

SQLNET.CRYPTO_CHECKSUM_CLIENT

Accepted, Rejected, Requested, Required

Requested

Das Datenintegritätsverhalten, wenn eine DB-Instance eine Verbindung zum Client oder zu einem als Client fungierenden Server herstellt. Wenn eine DB-Instance einen Datenbanklink verwendet, fungiert sie als Client.

Requested bedeutet, dass der Client von der DB-Instance keine Prüfsumme verlangt.

SQLNET.CRYPTO_CHECKSUM_SERVER

Accepted, Rejected, Requested, Required

Requested

Das Datenintegritätsverhalten, wenn ein Client oder ein Server, der als Client agiert, sich mit der DB-Instance verbindet. Wenn eine DB-Instance einen Datenbanklink verwendet, fungiert sie als Client.

Requested bedeutet, dass die DB-Instance vom Client keine Prüfsumme verlangt.

SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT

SHA256, SHA384, SHA512, SHA1, MD5

SHA256, SHA384, SHA512

Eine Liste von Prüfsummenalgorithmen.

Sie können entweder einen Wert oder eine durch Kommas getrennte Werteliste angeben. Wenn Sie ein Komma verwenden, fügen Sie kein Leerzeichen nach dem Komma ein, andernfalls wird ein InvalidParameterValue-Fehler angezeigt.

Dieser Parameter undSQLNET.CRYPTO_CHECKSUM_TYPES_SERVER muss eine gemeinsame Chiffre haben.

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER

SHA256, SHA384, SHA512, SHA1, MD5

SHA256, SHA384, SHA512, SHA1, MD5

Eine Liste von Prüfsummenalgorithmen.

Sie können entweder einen Wert oder eine durch Kommas getrennte Werteliste angeben. Wenn Sie ein Komma verwenden, fügen Sie kein Leerzeichen nach dem Komma ein, andernfalls wird ein InvalidParameterValue-Fehler angezeigt.

Dieser Parameter und SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT müssen eine gemeinsame Chiffre haben.

SQLNET.ENCRYPTION_CLIENT

Accepted, Rejected, Requested, Required

Requested

Das Verschlüsselungsverhalten des Clients, wenn ein Client oder ein Server, der als Client fungiert, eine Verbindung zur DB-Instance herstellt. Wenn eine DB-Instance einen Datenbanklink verwendet, fungiert sie als Client.

Requested bedeutet, dass der Client keine Verschlüsselung des Datenverkehrs mit dem Server benötigt.

SQLNET.ENCRYPTION_SERVER

Accepted, Rejected, Requested, Required

Requested

Das Verschlüsselungsverhalten des Servers, wenn ein Client oder ein Server, der als Client fungiert, eine Verbindung zur DB-Instance herstellt. Wenn eine DB-Instance einen Datenbanklink verwendet, fungiert sie als Client.

Requested gibt an, dass für die DB-Instance der Datenverkehr vom Client nicht verschlüsselt sein muss.

SQLNET.ENCRYPTION_TYPES_CLIENT

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

Eine Liste der vom Client verwendeten Verschlüsselungsalgorithmen. Der Client verwendet jeden Algorithmus der Reihe nach, um zu versuchen, die Servereingabe zu entschlüsseln, bis ein Algorithmus erfolgreich oder das Ende der Liste erreicht ist.

Amazon RDS verwendet die folgende Standardliste von Oracle. RDS beginnt mit RC4_256 und geht der Reihe nach in der Liste nach unten. Sie können die Reihenfolge ändern oder die Anzahl der Algorithmen verringern, die von DB-Instance verwendet werden sollen.

  1. RC4_256: RSA RC4 (256-bit Schlüsselgröße)

  2. AES256: AES (256-bit Schlüsselgröße)

  3. AES192: AES (192-bit Schlüsselgröße)

  4. 3DES168: 3-key Triple-DES (112-bit effektive Schlüsselgröße)

  5. RC4_128: RSA RC4 (128-bit Schlüsselgröße)

  6. AES128: AES (128-bit Schlüsselgröße)

  7. 3DES112: 2-key Triple-DES (80-bit effektive Schlüsselgröße)

  8. RC4_56: RSA RC4 (56-bit Schlüsselgröße)

  9. DES: Standard DES (56-bit Schlüsselgröße)

  10. RC4_40: RSA RC4 (40-bit Schlüsselgröße)

  11. DES40: DES40 (40-bit Schlüsselgröße)

Sie können entweder einen Wert oder eine durch Kommas getrennte Werteliste angeben. Wenn Sie ein Komma verwenden, fügen Sie kein Leerzeichen nach dem Komma ein, andernfalls wird ein InvalidParameterValue-Fehler angezeigt.

Dieser Parameter undSQLNET.SQLNET.ENCRYPTION_TYPES_SERVERmuss eine gemeinsame Chiffre haben.

SQLNET.ENCRYPTION_TYPES_SERVER

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

Eine Liste der von der DB-Instance verwendeten Verschlüsselungsalgorithmen. Die DB-Instance nutzt die einzelnen Algorithmen (der Reihe nach), um die vom Client stammenden Daten zu entschlüsseln, bis ein Algorithmus zum Erfolg führt oder das Ende der Liste erreicht ist.

Amazon RDS verwendet die folgende Standardliste von Oracle. Sie können die Reihenfolge ändern oder die Algorithmen einschränken, die der Kunde akzeptieren wird.

  1. RC4_256: RSA RC4 (256-bit Schlüsselgröße)

  2. AES256: AES (256-bit Schlüsselgröße)

  3. AES192: AES (192-bit Schlüsselgröße)

  4. 3DES168: 3-key Triple-DES (112-bit effektive Schlüsselgröße)

  5. RC4_128: RSA RC4 (128-bit Schlüsselgröße)

  6. AES128: AES (128-bit Schlüsselgröße)

  7. 3DES112: 2-key Triple-DES (80-bit effektive Schlüsselgröße)

  8. RC4_56: RSA RC4 (56-bit Schlüsselgröße)

  9. DES: Standard DES (56-bit Schlüsselgröße)

  10. RC4_40: RSA RC4 (40-bit Schlüsselgröße)

  11. DES40: DES40 (40-bit Schlüsselgröße)

Sie können entweder einen Wert oder eine durch Kommas getrennte Werteliste angeben. Wenn Sie ein Komma verwenden, fügen Sie kein Leerzeichen nach dem Komma ein, andernfalls wird ein InvalidParameterValue-Fehler angezeigt.

Dieser Parameter undSQLNET.SQLNET.ENCRYPTION_TYPES_SERVERmuss eine gemeinsame Chiffre haben.