NATIVE_ NETWORK _ ENCRYPTION Optionseinstellungen - Amazon Relational Database Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

NATIVE_ NETWORK _ ENCRYPTION Optionseinstellungen

Sie können Verschlüsselungsanforderungen sowohl auf dem Server als auch auf dem Client angeben. Die DB-Instanz kann als Client fungieren, wenn sie beispielsweise einen Datenbanklink verwendet, um eine Verbindung mit einer anderen Datenbank herzustellen. Möglicherweise möchten Sie vermeiden, dass die Verschlüsselung auf der Serverseite erzwungen wird. Beispielsweise möchten Sie möglicherweise nicht alle Clientkommunikationen dazu zwingen, die Verschlüsselung zu verwenden, da der Server dies erfordert. In diesem Fall können Sie die Verschlüsselung auf der Clientseite mit demSQLNET.*CLIENT-Optionen.

Amazon RDS unterstützt die folgenden Einstellungen für die NATIVE_NETWORK_ENCRYPTION Option.

Anmerkung

Wenn Sie Werte für eine Optionseinstellung durch Kommas trennen, setzen Sie kein Leerzeichen nach dem Komma.

Optionseinstellung Zulässige Werte Standardwerte Beschreibung

SQLNET.ALLOW_WEAK_CRYPTO_CLIENTS

TRUE, FALSE

TRUE

Das Verhalten des Servers, wenn ein Client, der eine nicht sichere Chiffre verwendet, versucht, sich mit der Datenbank zu verbinden. WennTRUE, können Kunden eine Verbindung herstellen, auch wenn sie nicht mit dem Juli 2021 PSU gepatcht wurden.

Wenn die Einstellung aktiviert istFALSE, können sich Clients nur dann mit der Datenbank verbinden, wenn sie mit dem Juli 2021 gepatcht wurden. PSU Bevor Sie SQLNET.ALLOW_WEAK_CRYPTO_CLIENTS auf FALSE festlegen, stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind:

  • SQLNET.ENCRYPTION_TYPES_SERVER und SQLNET.ENCRYPTION_TYPES_CLIENT haben eine übereinstimmende Verschlüsselungsmethode, die nicht DES, 3DES, oder RC4 (alle Schlüssellängen) ist.

  • SQLNET.CHECKSUM_TYPES_SERVER und SQLNET.CHECKSUM_TYPES_CLIENT haben eine passende sichere Prüfsummierungs-Methode, die nicht MD5 ist.

  • Der Client ist mit dem Juli 2021 gepatcht. PSU Wenn der Client nicht gepatcht ist, verliert der Client die Verbindung und erhält den ORA-12269-Fehler.

SQLNET.ALLOW_WEAK_CRYPTO

TRUE, FALSE

TRUE

Das Verhalten des Servers, wenn ein Client, der eine nicht sichere Chiffre verwendet, versucht, sich mit der Datenbank zu verbinden. Die folgenden Chiffren gelten als nicht sicher:

  • DES-Verschlüsselungsmethode (alle Schlüssellängen)

  • 3DES-Verschlüsselungsmethode (alle Schlüssellängen)

  • RC4-Verschlüsselungsmethode (alle Schlüssellängen)

  • MD5-Prüfsummierungs-Methode

Wenn die Einstellung TRUE lautet, können Clients eine Verbindung herstellen, wenn sie die vorhergehenden nicht sicheren Chiffren verwenden.

Wenn die Einstellung FALSE lautet, verhindert die Datenbank, dass Clients eine Verbindung herstellen, wenn sie die vorhergehenden nicht sicheren Chiffren verwenden. Bevor Sie SQLNET.ALLOW_WEAK_CRYPTO auf FALSE festlegen, stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind:

  • SQLNET.ENCRYPTION_TYPES_SERVER und SQLNET.ENCRYPTION_TYPES_CLIENT haben eine übereinstimmende Verschlüsselungsmethode, die nicht DES, 3DES, oder RC4 (alle Schlüssellängen) ist.

  • SQLNET.CHECKSUM_TYPES_SERVER und SQLNET.CHECKSUM_TYPES_CLIENT haben eine passende sichere Prüfsummierungs-Methode, die nicht MD5 ist.

  • Für den Client ist der Juli 2021 gepatcht. PSU Wenn der Client nicht gepatcht ist, verliert der Client die Verbindung und erhält den ORA-12269-Fehler.

SQLNET.CRYPTO_CHECKSUM_CLIENT

Accepted, Rejected, Requested, Required

Requested

Das Datenintegritätsverhalten, wenn eine DB-Instance eine Verbindung zum Client oder zu einem als Client fungierenden Server herstellt. Wenn eine DB-Instance einen Datenbanklink verwendet, fungiert sie als Client.

Requested bedeutet, dass der Client von der DB-Instanz keine Prüfsumme verlangt.

SQLNET.CRYPTO_CHECKSUM_SERVER

Accepted, Rejected, Requested, Required

Requested

Das Datenintegritätsverhalten, wenn ein Client oder ein Server, der als Client agiert, sich mit der DB-Instance verbindet. Wenn eine DB-Instance einen Datenbanklink verwendet, fungiert sie als Client.

Requested bedeutet, dass die DB-Instanz vom Client keine Prüfsumme verlangt.

SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT

SHA256, SHA384, SHA512, SHA1, MD5

SHA256, SHA384, SHA512

Eine Liste von Prüfsummenalgorithmen.

Sie können entweder einen Wert oder eine durch Kommas getrennte Werteliste angeben. Wenn Sie ein Komma verwenden, fügen Sie kein Leerzeichen nach dem Komma ein, andernfalls wird ein InvalidParameterValue-Fehler angezeigt.

Dieser Parameter undSQLNET.CRYPTO_CHECKSUM_TYPES_SERVER muss eine gemeinsame Chiffre haben.

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER

SHA256, SHA384, SHA512, SHA1, MD5

SHA256, SHA384, SHA512, SHA1, MD5

Eine Liste von Prüfsummenalgorithmen.

Sie können entweder einen Wert oder eine durch Kommas getrennte Werteliste angeben. Wenn Sie ein Komma verwenden, fügen Sie kein Leerzeichen nach dem Komma ein, andernfalls wird ein InvalidParameterValue-Fehler angezeigt.

Dieser Parameter und SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT müssen eine gemeinsame Chiffre haben.

SQLNET.ENCRYPTION_CLIENT

Accepted, Rejected, Requested, Required

Requested

Das Verschlüsselungsverhalten des Clients, wenn ein Client oder ein Server, der als Client fungiert, eine Verbindung zur DB-Instanz herstellt. Wenn eine DB-Instance einen Datenbanklink verwendet, fungiert sie als Client.

Requested bedeutet, dass der Client keine Verschlüsselung des Datenverkehrs mit dem Server benötigt.

SQLNET.ENCRYPTION_SERVER

Accepted, Rejected, Requested, Required

Requested

Das Verschlüsselungsverhalten des Servers, wenn ein Client oder ein Server, der als Client fungiert, eine Verbindung zur DB-Instanz herstellt. Wenn eine DB-Instance einen Datenbanklink verwendet, fungiert sie als Client.

Requested gibt an, dass für die DB-Instance der Datenverkehr vom Client nicht verschlüsselt sein muss.

SQLNET.ENCRYPTION_TYPES_CLIENT

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

Eine Liste der vom Client verwendeten Verschlüsselungsalgorithmen. Der Client verwendet jeden Algorithmus der Reihe nach, um zu versuchen, die Servereingabe zu entschlüsseln, bis ein Algorithmus erfolgreich oder das Ende der Liste erreicht ist.

Amazon RDS verwendet die folgende Standardliste von Oracle. RDSbeginnt mit der Liste RC4_256 und setzt die Liste der Reihe nach nach unten fort. Sie können die Reihenfolge ändern oder die Anzahl der Algorithmen verringern, die von DB-Instance verwendet werden sollen.

  1. RC4_256: RSA RC4 (256-Bit-Schlüsselgröße)

  2. AES256: AES (256-Bit-Schlüsselgröße)

  3. AES192: AES (192-Bit-Schlüsselgröße)

  4. 3DES168: 3-Tasten-Triple- DES (effektive Tastengröße von 112 Bit)

  5. RC4_128: RSA RC4 (128-Bit-Schlüsselgröße)

  6. AES128: AES (128-Bit-Schlüsselgröße)

  7. 3DES112: Triple mit 2 Tasten DES (effektive Schlüsselgröße von 80 Bit)

  8. RC4_56: RSA RC4 (56-Bit-Schlüsselgröße)

  9. DES: Standard DES (56-Bit-Schlüsselgröße)

  10. RC4_40: RSA RC4 (40-Bit-Schlüsselgröße)

  11. DES40: DES4 0 (40-Bit-Schlüsselgröße)

Sie können entweder einen Wert oder eine durch Kommas getrennte Werteliste angeben. Wenn Sie ein Komma verwenden, fügen Sie kein Leerzeichen nach dem Komma ein, andernfalls wird ein InvalidParameterValue-Fehler angezeigt.

Dieser Parameter undSQLNET.SQLNET.ENCRYPTION_TYPES_SERVERmuss eine gemeinsame Chiffre haben.

SQLNET.ENCRYPTION_TYPES_SERVER

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

Eine Liste der von der DB-Instance verwendeten Verschlüsselungsalgorithmen. Die DB-Instance nutzt die einzelnen Algorithmen (der Reihe nach), um die vom Client stammenden Daten zu entschlüsseln, bis ein Algorithmus zum Erfolg führt oder das Ende der Liste erreicht ist.

Amazon RDS verwendet die folgende Standardliste von Oracle. Sie können die Reihenfolge ändern oder die Algorithmen einschränken, die der Kunde akzeptieren wird.

  1. RC4_256: RSA RC4 (256-Bit-Schlüsselgröße)

  2. AES256: AES (256-Bit-Schlüsselgröße)

  3. AES192: AES (192-Bit-Schlüsselgröße)

  4. 3DES168: 3-Tasten-Triple- DES (effektive Tastengröße von 112 Bit)

  5. RC4_128: RSA RC4 (128-Bit-Schlüsselgröße)

  6. AES128: AES (128-Bit-Schlüsselgröße)

  7. 3DES112: Triple mit 2 Tasten DES (effektive Schlüsselgröße von 80 Bit)

  8. RC4_56: RSA RC4 (56-Bit-Schlüsselgröße)

  9. DES: Standard DES (56-Bit-Schlüsselgröße)

  10. RC4_40: RSA RC4 (40-Bit-Schlüsselgröße)

  11. DES40: DES4 0 (40-Bit-Schlüsselgröße)

Sie können entweder einen Wert oder eine durch Kommas getrennte Werteliste angeben. Wenn Sie ein Komma verwenden, fügen Sie kein Leerzeichen nach dem Komma ein, andernfalls wird ein InvalidParameterValue-Fehler angezeigt.

Dieser Parameter undSQLNET.SQLNET.ENCRYPTION_TYPES_SERVERmuss eine gemeinsame Chiffre haben.