本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
修改 NATIVE_NETWORK_ENCRYPTION 選項設定
啟用 NATIVE_NETWORK_ENCRYPTION
選項後,您可以修改其設定。目前,您只能使用 AWS CLI 或 RDS 修改NATIVE_NETWORK_ENCRYPTION
選項設定API。您無法使用主控台。下列範例會修改 選項中的兩個設定。
aws rds add-option-to-option-group \ --option-group-name my-option-group \ --options "OptionName=NATIVE_NETWORK_ENCRYPTION,OptionSettings=[{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256},{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256}]" \ --apply-immediately
若要了解如何使用 修改選項設定CLI,請參閱 AWS CLI。如需每項設定的詳細資訊,請參閱NATIVE_NETWORK_ENCRYPTION 選項設定。
修改 CRYPTO_CHECKSUM_* 值
如果您修改 NATIVE_NETWORK_ENCRYPTION 選項設定,請確定下列選項設定至少有一個通用密碼:
-
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
-
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
下列範例顯示您可以修改 SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
的情況。此組態有效,因為 CRYPTO_CHECKSUM_TYPES_CLIENT
和 CRYPTO_CHECKSUM_TYPES_SERVER
兩者皆使用 SHA256
。
選項設定 | 修改前的值 | 修改後的值 |
---|---|---|
|
|
未變更 |
|
|
SHA1,MD5,SHA256 |
另一個範例,假設您想要將 SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
從其預設設定修改為 SHA1,MD5
。在這種情況下,請確認您將 SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
設定為 SHA1
或 MD5
。這些演算法不會包含在 SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
的預設值中。
修改 ALLOW_WEAK_CRYPTO* 設定
要將 SQLNET.ALLOW_WEAK_CRYPTO*
選項從預設值設定為 FALSE
,請確保符合下列條件:
-
SQLNET.ENCRYPTION_TYPES_SERVER
和SQLNET.ENCRYPTION_TYPES_CLIENT
具有一個相符的安全加密方法。如果方法不是DES
、3DES
或RC4
(所有金鑰長度),則該方法被認為是安全的。 -
SQLNET.CHECKSUM_TYPES_SERVER
和SQLNET.CHECKSUM_TYPES_CLIENT
具有一個相符的檢查總和方法。如果方法不是MD5
,則該方法被認為是安全的。 -
用戶端已使用 2021 年 7 月的 進行修補PSU。如果用戶端未修補,則用戶端會失去連線並接收到
ORA-12269
錯誤。
下列範例顯示範例NNE設定。假設您要將 SQLNET.ENCRYPTION_TYPES_SERVER
和 設定為 SQLNET.ENCRYPTION_TYPES_CLIENT
FALSE,藉此封鎖不安全的連線。檢查總和選項設定滿足先決條件,因為它們都具有 SHA256
。但是,SQLNET.ENCRYPTION_TYPES_CLIENT
和 SQLNET.ENCRYPTION_TYPES_SERVER
使用 DES
、3DES
以及 RC4
加密方法,這些方法是不安全的。因此,要將 SQLNET.ALLOW_WEAK_CRYPTO*
選項設定為 FALSE
,請先將 SQLNET.ENCRYPTION_TYPES_SERVER
和 SQLNET.ENCRYPTION_TYPES_CLIENT
設為安全加密方法,例如 AES256
。
選項設定 | 值 |
---|---|
|
|
|
SHA1,MD5,SHA256 |
|
|
|
|