我正在寻求强制我的 Oracle RDS 仅使用 SSL,而不是纯文本通信。
我查看了Oracle的参数组,但没有看到任何相关参数(除了普通通信之外只遇到了SSL,但没有遇到过)。
此用例有任何参数吗?
禁用 TCP 侦听器端口并让侦听器仅使用 TCPS 协议。
如果您使用不带 GI Stack 的安装(Oracle Restart/RAC),请更改listener.ora。在 GI 情况下,您必须使用“srvctl”来更改侦听器(及其正在侦听的端口) - 并且您还应该更改 SCAN。
分步指南:如何在 ORACLE RAC 上配置 SSL/TLS(使用 SCAN)(文档 ID 1448841.1)
请注意,如果您使用动态服务注册(local_listener/remote_listener)数据库参数,还要确保数据库知道 SSL 证书。否则数据库无法注册,因为这通常是通过的。以及非 TCPS 端口。
最后但并非最不重要的一点:即使使用 TCP,您也可以通过使用“sqlnet.ora”参数启用本机网络加密。因此,如果您将 SQL 参数设置为“restricted”,只允许加密流量,则无需禁用标准侦听器端口:
将以下值添加到 RDS 实例上的选项组中:
SQLNET.SSL_VERSION - 可能值“1.0”、“1.2”、“1.2 或 1.0”
强制执行 TLS 1.0、1.2、1.2 或 1.0。
您还可以使用以下选项组指定 CiperSuite:
SQLNET.CIPHER_SUITE -
| 密码套件 (SQLNET.CIPHER_SUITE) | TLS 版本 (SQLNET.SSL_VERSION) | 支持的 Oracle DB 版本 |
|---|---|---|
| SSL_RSA_WITH_AES_256_CBC_SHA(默认) | 1.0 和 1.2 | 12c、19c、21c |
| SSL_RSA_WITH_AES_256_CBC_SHA256 | 1.2 | 12c、19c、21c |
| SSL_RSA_WITH_AES_256_GCM_SHA384 | 1.2 | 12c、19c、21c |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | 1.2 | 19c、21c |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | 1.2 | 19c、21c |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | 1.2 | 19c、21c |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | 1.2 | 19c、21c |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | 1.2 | 19c、21c |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | 1.2 | 19c、21c |
https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.Oracle.Options.SSL.html