Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ändern der Einstellungen der Option NATIVE_NETWORK_ENCRYPTION
Nachdem Sie die Option NATIVE_NETWORK_ENCRYPTION aktiviert haben, können Sie ihre Einstellungen ändern. Derzeit können Sie die Einstellungen der Option NATIVE_NETWORK_ENCRYPTION nur mit der AWS CLI oder der RDS-API ändern. Die Konsole können Sie nicht verwenden. Im folgenden Beispiel werden zwei Einstellungen in der Option geändert.
aws rds add-option-to-option-group \ --option-group-name my-option-group \ --options "OptionName=NATIVE_NETWORK_ENCRYPTION,OptionSettings=[{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256},{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256}]" \ --apply-immediately
Weitere Informationen über das Ändern von Optionseinstellungen über die CLI finden Sie unter AWS CLI. Weitere Informationen zu den einzelnen Einstellungen finden Sie unter Einstellungen der Option NATIVE_NETWORK_ENCRYPTION.
Ändern von CRYPTO_CHECKSUM_*-Werten
Wenn Sie die Einstellungen der Option NATIVE_NETWORK_ENCRYPTION ändern, vergewissern Sie sich, dass die folgenden Optionseinstellungen mindestens eine gemeinsame Verschlüsselung aufweisen:
-
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER -
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
Das folgende Beispiel zeigt ein Szenario, in dem Sie SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER ändern. Die Konfiguration ist gültig, da CRYPTO_CHECKSUM_TYPES_CLIENT und CRYPTO_CHECKSUM_TYPES_SERVER beide SHA256 verwenden.
| Optionseinstellung | Werte vor Änderung | Werte nach Änderung |
|---|---|---|
|
|
|
Keine Änderung |
|
|
|
SHA1,MD5,SHA256 |
Nehmen Sie für ein anderes Beispiel an, dass SieSQLNET.CRYPTO_CHECKSUM_TYPES_SERVERvon der Standardeinstellung aufSHA1,MD5aus. Stellen Sie in diesem Fall sicher, dass SieSQLNET.CRYPTO_CHECKSUM_TYPES_CLIENTaufSHA1oderMD5aus. Diese Algorithmen sind nicht in den Standardwerten fürSQLNET.CRYPTO_CHECKSUM_TYPES_CLIENTaus.
Ändern der Einstellungen von ALLOW_WEAK_CRYPTO*
Um die SQLNET.ALLOW_WEAK_CRYPTO*-Optionen vom Standardwert auf FALSE festzulegen, stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind:
-
SQLNET.ENCRYPTION_TYPES_SERVERundSQLNET.ENCRYPTION_TYPES_CLIENThaben eine passende sichere Verschlüsselungsmethode. Eine Methode gilt als sicher, wenn sie nichtDES,3DES, oderRC4(alle Schlüssellängen) ist. -
SQLNET.CHECKSUM_TYPES_SERVERundSQLNET.CHECKSUM_TYPES_CLIENThaben eine passende sichere Prüfsummierungs-Methode. Eine Methode gilt als sicher, wenn sie nichtMD5ist. -
Der Kunde wird mit dem Netzteil vom Juli 2021 gepatcht. Wenn der Client nicht gepatcht ist, verliert der Client die Verbindung und erhält den
ORA-12269-Fehler.
Das folgende Beispiel zeigt Beispiel-NNE-Einstellungen. Angenommen, Sie möchten SQLNET.ENCRYPTION_TYPES_SERVER und SQLNET.ENCRYPTION_TYPES_CLIENT auf FALSE festlegen und dadurch unsichere Verbindungen blockieren. Die Einstellungen der Prüfsummenoption erfüllen die Voraussetzungen, da beide SHA256 haben. Allerdings. benutzen SQLNET.ENCRYPTION_TYPES_CLIENT und SQLNET.ENCRYPTION_TYPES_SERVER die DES-, 3DES-, und RC4-Verschlüsselungsmethoden, die nicht sicher sind. Um die SQLNET.ALLOW_WEAK_CRYPTO*-Optionen auf FALSE festzulegen, setzen Sie daher zuerst SQLNET.ENCRYPTION_TYPES_SERVER und SQLNET.ENCRYPTION_TYPES_CLIENT auf eine sichere Verschlüsselungsmethode wie AES256.
| Optionseinstellung | Werte |
|---|---|
|
|
|
|
|
SHA1,MD5,SHA256 |
|
|
|
|
|
|
