本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
修改 NATIVE_NETWORK_ENCRYPTION 選項設定
啟用 NATIVE_NETWORK_ENCRYPTION 選項後,您可以修改其設定。目前,您只能使用 AWS CLI 或 RDS API 修改 NATIVE_NETWORK_ENCRYPTION 選項設定。您無法使用主控台。下列範例會修改選項中的兩項設定。
aws rds add-option-to-option-group \ --option-group-name my-option-group \ --options "OptionName=NATIVE_NETWORK_ENCRYPTION,OptionSettings=[{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256},{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256}]" \ --apply-immediately
若要了解如何使用 CLI 修改選項設定,請參閱 AWS CLI。如需每項設定的詳細資訊,請參閱NATIVE_NETWORK_ENCRYPTION 選項設定。
修改 CRYPTO_CHECKSUM_* 值
如果您修改 NATIVE_NETWORK_ENCRYPTION 選項設定,請確定下列選項設定至少有一個共同的密碼:
-
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER -
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
下列範例顯示您可以修改 SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER 的情況。此組態有效,因為 CRYPTO_CHECKSUM_TYPES_CLIENT 和 CRYPTO_CHECKSUM_TYPES_SERVER 兩者皆使用 SHA256。
| 選項設定 | 修改前的值 | 修改後的值 |
|---|---|---|
|
|
|
未變更 |
|
|
|
SHA1,MD5,SHA256 |
另一個範例,假設您想要將 SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER 從其預設設定修改為 SHA1,MD5。在這種情況下,請確認您將 SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT 設定為 SHA1 或 MD5。這些演算法不會包含在 SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT 的預設值中。
修改 ALLOW_WEAK_CRYPTO* 設定
要將 SQLNET.ALLOW_WEAK_CRYPTO* 選項從預設值設定為 FALSE,請確保符合下列條件:
-
SQLNET.ENCRYPTION_TYPES_SERVER和SQLNET.ENCRYPTION_TYPES_CLIENT具有一個相符的安全加密方法。如果方法不是DES、3DES或RC4(所有金鑰長度),則該方法被認為是安全的。 -
SQLNET.CHECKSUM_TYPES_SERVER和SQLNET.CHECKSUM_TYPES_CLIENT具有一個相符的檢查總和方法。如果方法不是MD5,則該方法被認為是安全的。 -
用戶端已使用 2021 年 7 月 PSU 修補。如果用戶端未修補,則用戶端會失去連線並接收到
ORA-12269錯誤。
下列範例顯示範例 NNE 設定。假定將 SQLNET.ENCRYPTION_TYPES_SERVER 和 SQLNET.ENCRYPTION_TYPES_CLIENT 設定為 FALSE,從而阻止非安全連線。檢查總和選項設定滿足先決條件,因為它們都具有 SHA256。但是,SQLNET.ENCRYPTION_TYPES_CLIENT 和 SQLNET.ENCRYPTION_TYPES_SERVER 使用 DES、3DES 以及 RC4 加密方法,這些方法是不安全的。因此,要將 SQLNET.ALLOW_WEAK_CRYPTO* 選項設定為 FALSE,請先將 SQLNET.ENCRYPTION_TYPES_SERVER 和 SQLNET.ENCRYPTION_TYPES_CLIENT 設為安全加密方法,例如 AES256。
| 選項設定 | 值 |
|---|---|
|
|
|
|
|
SHA1,MD5,SHA256 |
|
|
|
|
|
|
