修改 NATIVE_NETWORK_ENCRYPTION 選項設定 - Amazon Relational Database Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

修改 NATIVE_NETWORK_ENCRYPTION 選項設定

啟用 NATIVE_NETWORK_ENCRYPTION 選項後,您可以修改其設定。目前,您只能使用 AWS CLI 或 RDS 修改NATIVE_NETWORK_ENCRYPTION選項設定API。您無法使用主控台。下列範例會修改 選項中的兩個設定。

aws rds add-option-to-option-group \ --option-group-name my-option-group \ --options "OptionName=NATIVE_NETWORK_ENCRYPTION,OptionSettings=[{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256},{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256}]" \ --apply-immediately

若要了解如何使用 修改選項設定CLI,請參閱 AWS CLI。如需每項設定的詳細資訊,請參閱NATIVE_NETWORK_ENCRYPTION 選項設定

修改 CRYPTO_CHECKSUM_* 值

如果您修改 NATIVE_NETWORK_ENCRYPTION 選項設定,請確定下列選項設定至少有一個通用密碼:

  • SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER

  • SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT

下列範例顯示您可以修改 SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER 的情況。此組態有效,因為 CRYPTO_CHECKSUM_TYPES_CLIENTCRYPTO_CHECKSUM_TYPES_SERVER 兩者皆使用 SHA256

選項設定 修改前的值 修改後的值

SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT

SHA256, SHA384, SHA512

未變更

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER

SHA256, SHA384, SHA512, SHA1, MD5

SHA1,MD5,SHA256

另一個範例,假設您想要將 SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER 從其預設設定修改為 SHA1,MD5。在這種情況下,請確認您將 SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT 設定為 SHA1MD5。這些演算法不會包含在 SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT 的預設值中。

修改 ALLOW_WEAK_CRYPTO* 設定

要將 SQLNET.ALLOW_WEAK_CRYPTO* 選項從預設值設定為 FALSE,請確保符合下列條件:

  • SQLNET.ENCRYPTION_TYPES_SERVERSQLNET.ENCRYPTION_TYPES_CLIENT 具有一個相符的安全加密方法。如果方法不是 DES3DESRC4 (所有金鑰長度),則該方法被認為是安全的。

  • SQLNET.CHECKSUM_TYPES_SERVERSQLNET.CHECKSUM_TYPES_CLIENT 具有一個相符的檢查總和方法。如果方法不是 MD5,則該方法被認為是安全的。

  • 用戶端已使用 2021 年 7 月的 進行修補PSU。如果用戶端未修補,則用戶端會失去連線並接收到 ORA-12269 錯誤。

下列範例顯示範例NNE設定。假設您要將 SQLNET.ENCRYPTION_TYPES_SERVER和 設定為 SQLNET.ENCRYPTION_TYPES_CLIENT FALSE,藉此封鎖不安全的連線。檢查總和選項設定滿足先決條件,因為它們都具有 SHA256。但是,SQLNET.ENCRYPTION_TYPES_CLIENTSQLNET.ENCRYPTION_TYPES_SERVER 使用 DES3DES 以及 RC4 加密方法,這些方法是不安全的。因此,要將 SQLNET.ALLOW_WEAK_CRYPTO* 選項設定為 FALSE,請先將 SQLNET.ENCRYPTION_TYPES_SERVERSQLNET.ENCRYPTION_TYPES_CLIENT 設為安全加密方法,例如 AES256

選項設定

SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT

SHA256, SHA384, SHA512

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER

SHA1,MD5,SHA256

SQLNET.ENCRYPTION_TYPES_CLIENT

RC4_256, 3DES168, DES40

SQLNET.ENCRYPTION_TYPES_SERVER

RC4_256, 3DES168, DES40