Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Lapisan Soket Aman Oracle
Untuk mengaktifkan enkripsi SSL untuk RDS untuk instans Oracle DB, tambahkan opsi Oracle SSL ke grup opsi yang terkait dengan instans DB. Amazon RDS menggunakan port kedua, seperti yang diharuskan oleh Oracle, untuk koneksi SSL. Pendekatan ini memungkinkan komunikasi teks yang jelas dan terenkripsi SSL terjadi pada waktu yang sama antara instans DB dan SQL\*Plus. Misalnya, Anda dapat menggunakan port dengan komunikasi teks jelas untuk berkomunikasi dengan sumber daya lain di dalam VPC sambil menggunakan port komunikasi terenkripsi SSL untuk berkomunikasi dengan sumber daya di luar VPC.
**catatan**
Anda dapat menggunakan SSL atau Enkripsi Jaringan Asli (NNE) pada RDS yang sama untuk instans DB Oracle, tetapi tidak keduanya sekaligus. Jika Anda menggunakan enkripsi SSL, pastikan untuk menonaktifkan enkripsi koneksi lainnya. Untuk informasi selengkapnya, lihat [Enkripsi jaringan asli Oracle](Appendix.Oracle.Options.NetworkEncryption.md).
SSL/TLS dan NNE tidak lagi menjadi bagian dari Keamanan Lanjutan Oracle. Dalam RDS untuk Oracle, Anda dapat menggunakan enkripsi SSL dengan semua edisi berlisensi dari versi basis data berikut:
+ Oracle Database 21c (21.0.0)
+ Oracle Database 19c (19.0.0)
**Topics**
+ [Versi TLS untuk opsi SSL Oracle](#Appendix.Oracle.Options.SSL.TLS)
+ [Paket sandi untuk opsi SSL Oracle](#Appendix.Oracle.Options.SSL.CipherSuites)
+ [Dukungan FIPS](#Appendix.Oracle.Options.SSL.FIPS)
+ [Kompatibilitas sertifikat dengan cipher suite](#Appendix.Oracle.Options.SSL.CertificateCompatibility)
+ [Menambahkan opsi SSL](Appendix.Oracle.Options.SSL.OptionGroup.md)
+ [Mengonfigurasi SQL\*Plus untuk menggunakan SSL dengan instans DB RDS for Oracle](Appendix.Oracle.Options.SSL.ClientConfiguration.md)
+ [Menghubungkan ke instans DB RDS for Oracle menggunakan SSL](Appendix.Oracle.Options.SSL.Connecting.md)
+ [Menyiapkan koneksi SSL melalui JDBC](Appendix.Oracle.Options.SSL.JDBC.md)
+ [Menerapkan kecocokan DN dengan koneksi SSL](Appendix.Oracle.Options.SSL.DNMatch.md)
+ [Pemecahan masalah koneksi SSL](Appendix.Oracle.Options.SSL.troubleshooting.md)
## Versi TLS untuk opsi SSL Oracle
Amazon RDS for Oracle mendukung Keamanan Lapisan Pengangkutan (TLS) versi 1.0 dan 1.2. Saat Anda menambahkan opsi SSL Oracle baru, tetapkan `SQLNET.SSL_VERSION` secara eksplisit ke nilai yang valid. Nilai-nilai berikut diizinkan untuk pengaturan opsi ini:
+ `"1.0"`— Klien dapat terhubung ke instans DB menggunakan TLS versi 1.0 saja. Untuk opsi Oracle SSL yang ada, `SQLNET.SSL_VERSION` ditetapkan ke `"1.0"` secara otomatis. Anda dapat mengubah pengaturan bila diperlukan.
+ `"1.2"` – Klien dapat terhubung ke instans DB menggunakan TLS 1.2 saja.
+ `"1.2 or 1.0"`- Klien dapat terhubung ke instans DB menggunakan TLS 1.2 atau 1.0.
## Paket sandi untuk opsi SSL Oracle
Amazon RDS for Oracle mendukung beberapa paket sandi SSL. Secara default, opsi SSL Oracle dikonfigurasi untuk menggunakan paket sandi `SSL_RSA_WITH_AES_256_CBC_SHA`. Untuk menentukan paket sandi yang berbeda untuk digunakan melalui koneksi SSL, gunakan pengaturan opsi `SQLNET.CIPHER_SUITE`.
Anda dapat menentukan beberapa nilai untuk`SQLNET.CIPHER_SUITE`. Teknik ini berguna jika Anda memiliki link database antara instans DB Anda dan memutuskan untuk memperbarui cipher suite Anda.
Tabel berikut merangkum dukungan SSL untuk RDS untuk Oracle di semua edisi Oracle Database 19c dan 21c.
| Paket sandi (SQLNET.CIPHER\_SUITE) | Dukungan versi TLS (SQLNET.SSL\_VERSION) | Dukungan FIPS | Sesuai dengan FedRAMP |
| --- | --- | --- | --- |
| SSL\_RSA\_WITH\_AES\_256\_CBC\_SHA (default) | 1.0 dan 1.2 | Ya | Tidak |
| SSL\_RSA\_DENGAN\_AES\_256\_CBC\_ SHA256 | 1.2 | Ya | Tidak |
| SSL\_RSA\_DENGAN\_AES\_256\_GCM\_ SHA384 | 1.2 | Ya | Tidak |
| TLS\_ECDHE\_RSA\_WITH\_AES\_256\_GCM\_ SHA384 | 1.2 | Ya | Ya |
| TLS\_ECDHE\_RSA\_WITH\_AES\_128\_GCM\_ SHA256 | 1.2 | Ya | Ya |
| TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_ SHA384 | 1.2 | Ya | Ya |
| TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_ SHA256 | 1.2 | Ya | Ya |
| TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA | 1.2 | Ya | Ya |
| TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA | 1.2 | Ya | Ya |
| TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_GCM\_ SHA384 | 1.2 | Ya | Ya |
| TLS\_ECDHE\_ECDSA\_DENGAN\_AES\_256\_CBC\_ SHA384 | 1.2 | Ya | Ya |
## Dukungan FIPS
RDS for Oracle memungkinkan Anda untuk menggunakan standar Federal Information Processing Standard (FIPS) untuk 140-2. FIPS 140-2 adalah standar pemerintah Amerika Serikat yang menetapkan persyaratan keamanan modul kriptografi. Anda mengaktifkan standar FIPS dengan menetapkan `FIPS.SSLFIPS_140` ke `TRUE` untuk opsi SSL Oracle. Ketika FIPS 140-2 dikonfigurasi untuk SSL, pustaka kriptografi mengenkripsi data antara klien dan instans DB RDS for Oracle.
Klien harus menggunakan paket sandi yang mematuhi FIPS. Saat membuat koneksi, klien dan instans DB RDS for Oracle menegosiasikan paket sandi mana yang akan digunakan saat mengirimkan pesan bolak-balik. Tabel di [Paket sandi untuk opsi SSL Oracle](#Appendix.Oracle.Options.SSL.CipherSuites) menunjukkan paket sandi SSL yang mematuhi FIPS untuk setiap versi TLS. Untuk informasi selengkapnya, lihat [Oracle database FIPS 140-2 settings](https://docs.oracle.com/en/database/oracle/oracle-database/12.2/dbseg/oracle-database-fips-140-settings.html#GUID-DDBEB3F9-B216-44BB-8C18-43B5E468CBBB) di dokumentasi Oracle Database.
## Kompatibilitas sertifikat dengan cipher suite
RDS untuk Oracle mendukung sertifikat RSA dan Elliptic Curve Digital Signature Algorithm (ECDSA). Ketika Anda mengkonfigurasi SSL untuk instans DB Anda, Anda harus memastikan bahwa cipher suite yang Anda tentukan dalam pengaturan `SQLNET.CIPHER_SUITE` opsi kompatibel dengan jenis sertifikat yang digunakan oleh instans DB Anda.
Tabel berikut menunjukkan kompatibilitas antara jenis sertifikat dan cipher suite:
| Jenis sertifikat | Suite cipher yang kompatibel | Suite sandi yang tidak kompatibel |
| --- | --- | --- |
| Sertifikat RSA (rds-ca-2019, 2048-g1, 4096-g1) rds-ca-rsa rds-ca-rsa | SSL\_RSA\_WITH\_AES\_256\_CBC\_SHA
SSL\_RSA\_DENGAN\_AES\_256\_CBC\_ SHA256
SSL\_RSA\_DENGAN\_AES\_256\_GCM\_ SHA384
TLS\_ECDHE\_RSA\_WITH\_AES\_256\_GCM\_ SHA384
TLS\_ECDHE\_RSA\_WITH\_AES\_128\_GCM\_ SHA256
TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_ SHA384
TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_ SHA256
TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA
TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA | TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_GCM\_ SHA384
TLS\_ECDHE\_ECDSA\_DENGAN\_AES\_256\_CBC\_ SHA384 |
| Sertifikat ECDSA (384-g1) rds-ca-ecc | TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_GCM\_ SHA384
TLS\_ECDHE\_ECDSA\_DENGAN\_AES\_256\_CBC\_ SHA384 | SSL\_RSA\_WITH\_AES\_256\_CBC\_SHA
SSL\_RSA\_DENGAN\_AES\_256\_CBC\_ SHA256
SSL\_RSA\_DENGAN\_AES\_256\_GCM\_ SHA384
TLS\_ECDHE\_RSA\_WITH\_AES\_256\_GCM\_ SHA384
TLS\_ECDHE\_RSA\_WITH\_AES\_128\_GCM\_ SHA256
TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_ SHA384
TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_ SHA256
TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA
TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA |
Saat Anda menentukan beberapa cipher suite dalam pengaturan `SQLNET.CIPHER_SUITE` opsi, pastikan untuk menyertakan setidaknya satu cipher suite yang kompatibel dengan jenis sertifikat yang digunakan oleh instans DB Anda. Jika Anda menggunakan grup opsi dengan beberapa instans DB yang memiliki jenis sertifikat berbeda, sertakan setidaknya satu rangkaian sandi untuk setiap jenis sertifikat.
Jika Anda mencoba mengaitkan grup opsi dengan opsi SSL yang hanya berisi rangkaian sandi yang tidak kompatibel dengan jenis sertifikat instans DB, operasi akan gagal dengan pesan kesalahan yang menunjukkan ketidakcocokan.