Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Oracle Secure Sockets Layer
Puoi abilitare la crittografia SSL per un’istanza database RDS per Oracle aggiungendo l’opzione Oracle SSL al gruppo di opzioni associato all’istanza database. Amazon RDS utilizza una seconda porta, come richiesto da Oracle, per le connessioni SSL. Questo approccio rende possibile allo stesso tempo sia testo in chiaro che comunicazioni con crittografia SSL tra un'istanza database e SQL\*Plus. Ad esempio, è possibile utilizzare la porta con testo in chiaro per comunicare con altre risorse all'interno di un VPC mentre utilizzi la porta con crittografia SSL per comunicare con risorse all'esterno del VPC.
**Nota**
È possibile utilizzare SSL o Native Network Encryption (NNE) sulla stessa istanza database RDS per Oracle. Se utilizzi la crittografia SSL, assicurati di disabilitare qualsiasi altro metodo di crittografia della connessione. Per ulteriori informazioni, consulta [Oracle native network encryption](Appendix.Oracle.Options.NetworkEncryption.md).
SSL/TLS e NNE non fanno più parte di Oracle Advanced Security. In RDS per Oracle, puoi utilizzare la crittografia SSL con tutte le edizioni con licenza delle seguenti versioni del database:
+ Oracle Database 21c (21.0.0)
+ Oracle Database 19c (19.0.0)
**Topics**
+ [Versioni TLS per l'opzione SSL di Oracle](#Appendix.Oracle.Options.SSL.TLS)
+ [Suite di cifratura per l'opzione Oracle SSL](#Appendix.Oracle.Options.SSL.CipherSuites)
+ [Supporto FIPS](#Appendix.Oracle.Options.SSL.FIPS)
+ [Compatibilità dei certificati con le suite di crittografia](#Appendix.Oracle.Options.SSL.CertificateCompatibility)
+ [Aggiunta dell'opzione SSL](Appendix.Oracle.Options.SSL.OptionGroup.md)
+ [Configurazione di SQL\*Plus per l'utilizzo di SSL con un'istanza database RDS per Oracle](Appendix.Oracle.Options.SSL.ClientConfiguration.md)
+ [Connessione a un'istanza database RDS per Oracle tramite SSL](Appendix.Oracle.Options.SSL.Connecting.md)
+ [Configurazione di una connessione SSL su JDBC](Appendix.Oracle.Options.SSL.JDBC.md)
+ [Applicazione di una corrispondenza DN con connessione SSL](Appendix.Oracle.Options.SSL.DNMatch.md)
+ [Risoluzione dei problemi relativi alle connessioni SSL](Appendix.Oracle.Options.SSL.troubleshooting.md)
## Versioni TLS per l'opzione SSL di Oracle
Amazon RDS for Oracle supporta Transport Layer Security (TLS) versioni 1.0 e 1.2. Quando aggiungi una nuova opzione SSL di Oracle, imposta `SQLNET.SSL_VERSION` su un valore valido in modo esplicito. Di seguito sono indicati i valori consentiti per questa impostazione dell’opzione:
+ `"1.0"`: i client possono connettersi all'istanza database solo tramite TLS versione 1.0. Per le opzioni SSL di Oracle esistenti, `SQLNET.SSL_VERSION` è impostato su `"1.0"` automaticamente. Puoi modificare questa impostazione, se necessario.
+ `"1.2"` – I client possono connettersi all'istanza database solo tramite TLS 1.2.
+ `"1.2 or 1.0"` – I client possono connettersi all'istanza database tramite TLS 1.2 o 1.0.
## Suite di cifratura per l'opzione Oracle SSL
Amazon RDS for Oracle supporta suite di cifratura SSL multiple. Come impostazione predefinita, l’opzione Oracle SSL è configurata per utilizzare la suite di cifratura `SSL_RSA_WITH_AES_256_CBC_SHA`. Per specificare una suite di cifratura diversa da adottare nelle connessioni SSL, usare l’impostazione dell’opzione `SQLNET.CIPHER_SUITE`.
Puoi specificare valori multipli per `SQLNET.CIPHER_SUITE`. Questa tecnica è utile se disponi di collegamenti al database tra le istanze database e decidi di aggiornare le suite di crittografia.
Nella tabella seguente viene indicato il supporto SSL di RDS per Oracle in tutte le edizioni di Oracle Database 19c e 21c.
| Suite di crittografia (SQLNET.CIPHER\_SUITE) | Supporto della versione TLS (SQLNET.SSL\_VERSION) | Supporto FIPS | Conformità agli standard FedRAMP |
| --- | --- | --- | --- |
| SSL\_RSA\_WITH\_AES\_256\_CBC\_SHA (predefinito) | 1.0 e 1.2 | Sì | No |
| SSL\_RSA\_CON\_AES\_256\_CBC\_ SHA256 | 1.2 | Sì | No |
| SSL\_RSA\_CON\_AES\_256\_GCM\_ SHA384 | 1.2 | Sì | No |
| TLS\_ECDHE\_RSA\_CON\_AES\_256\_GCM\_ SHA384 | 1.2 | Sì | Sì |
| TLS\_ECDHE\_RSA\_CON\_AES\_128\_GCM\_ SHA256 | 1.2 | Sì | Sì |
| TLS\_ECDHE\_RSA\_CON\_AES\_256\_CBC\_ SHA384 | 1.2 | Sì | Sì |
| TLS\_ECDHE\_RSA\_CON\_AES\_128\_CBC\_ SHA256 | 1.2 | Sì | Sì |
| TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA | 1.2 | Sì | Sì |
| TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA | 1.2 | Sì | Sì |
| TLS\_ECDHE\_ECDSA\_CON\_AES\_256\_GCM\_ SHA384 | 1.2 | Sì | Sì |
| TLS\_ECDHE\_ECDSA\_CON\_AES\_256\_CBC\_ SHA384 | 1.2 | Sì | Sì |
## Supporto FIPS
RDS per Oracle consente di utilizzare lo standard Federal Information Processing Standard (FIPS) per 140-2. FIPS 140-2 è uno standard del governo degli Stati Uniti che definisce i requisiti di sicurezza del modulo crittografico. Attiva lo standard FIPS impostando `FIPS.SSLFIPS_140` su `TRUE` per l'opzione Oracle SSL. Quando FIPS 140-2 è configurato per SSL, le librerie crittografiche eseguono la crittografia dei dati tra il client e l'istanza database Oracle.
I client devono utilizzare la suite di crittografia conforme con FIPS. Quando si stabilisce una connessione, il client e l'istanza database RDS per Oracle negoziano quale suite di cifratura utilizzare durante la trasmissione dei messaggi in entrambe le direzioni. Nella tabella in [Suite di cifratura per l'opzione Oracle SSL](#Appendix.Oracle.Options.SSL.CipherSuites) vengono illustrate le suite di crittografia SSL conformi a FIPS per ogni versione TLS. Per ulteriori informazioni, consulta la pagina relativa alle [impostazioni FIPS 140-2 del database Oracle](https://docs.oracle.com/en/database/oracle/oracle-database/12.2/dbseg/oracle-database-fips-140-settings.html#GUID-DDBEB3F9-B216-44BB-8C18-43B5E468CBBB) nella documentazione del database Oracle.
## Compatibilità dei certificati con le suite di crittografia
RDS per Oracle supporta i certificati RSA ed ECDSA (Elliptic Curve Digital Signature Algorithm). Quando configuri SSL per l’istanza database, devi assicurarti che le suite di crittografia specificate nell’impostazione dell’opzione `SQLNET.CIPHER_SUITE` siano compatibili con il tipo di certificato utilizzato dall’istanza database.
La tabella seguente mostra la compatibilità tra i tipi di certificato e le suite di crittografia:
| Tipo di certificato | Suite di crittografia compatibili | Suite di crittografia incompatibili |
| --- | --- | --- |
| Certificati RSA (rds-ca-2019, 2048-g1, 4096-g1) rds-ca-rsa rds-ca-rsa | SSL\_RSA\_WITH\_AES\_256\_CBC\_SHA
SSL\_RSA\_CON\_AES\_256\_CBC\_ SHA256
SSL\_RSA\_CON\_AES\_256\_GCM\_ SHA384
TLS\_ECDHE\_RSA\_CON\_AES\_256\_GCM\_ SHA384
TLS\_ECDHE\_RSA\_CON\_AES\_128\_GCM\_ SHA256
TLS\_ECDHE\_RSA\_CON\_AES\_256\_CBC\_ SHA384
TLS\_ECDHE\_RSA\_CON\_AES\_128\_CBC\_ SHA256
TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA
TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA | TLS\_ECDHE\_ECDSA\_CON\_AES\_256\_GCM\_ SHA384
TLS\_ECDHE\_ECDSA\_CON\_AES\_256\_CBC\_ SHA384 |
| Certificati ECDSA (384-g1) rds-ca-ecc | TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_GCM\_ SHA384
TLS\_ECDHE\_ECDSA\_CON\_AES\_256\_CBC\_ SHA384 | SSL\_RSA\_WITH\_AES\_256\_CBC\_SHA
SSL\_RSA\_CON\_AES\_256\_CBC\_ SHA256
SSL\_RSA\_CON\_AES\_256\_GCM\_ SHA384
TLS\_ECDHE\_RSA\_CON\_AES\_256\_GCM\_ SHA384
TLS\_ECDHE\_RSA\_CON\_AES\_128\_GCM\_ SHA256
TLS\_ECDHE\_RSA\_CON\_AES\_256\_CBC\_ SHA384
TLS\_ECDHE\_RSA\_CON\_AES\_128\_CBC\_ SHA256
TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA
TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA |
Quando specifichi più suite di crittografia nell’impostazione dell’opzione `SQLNET.CIPHER_SUITE`, assicurati di includere almeno una suite di crittografia compatibile con il tipo di certificato utilizzato dall’istanza database. Se utilizzi un gruppo di opzioni con più istanze database con tipi di certificati diversi, includi almeno una suite di crittografia per ogni tipo di certificato.
Se tenti di associare un gruppo di opzioni a un’opzione SSL che contiene solo suite di crittografia incompatibili con il tipo di certificato di un’istanza database, l’operazione avrà esito negativo e verrà visualizzato un messaggio di errore che indica l’incompatibilità.