Oracle Cloud Infrastructure-Dokumentation

Wallets für Autonomous Database rotieren

Mit der Wallet-Rotation können Sie vorhandene Clientzertifizierungsschlüssel für eine Datenbankinstanz oder für alle Autonomous Database-Instanzen, die einem Cloud-Account in einer Region gehören, invalidieren.
  • Wallet-Rotation
    Sie können einen von zwei Wallet-Rotationstypen ausführen: sofort oder mit einer Verlängerungsfrist.
  • Wallets mit sofortiger Rotation rotieren
    Mit der sofortigen Wallet-rotation können Sie vorhandene Clientzertifizierungsschlüssel für eine Autonomous Database-Instanz oder für alle Autonomous Database-Instanzen, die einem Cloud-Account in einer Region gehören, invalidieren.
  • Wallets mit Nachfrist rotieren
    Mit Autonomous Database können Sie Wallets für eine Autonomous Database-Instanz oder für alle Instanzen eines Cloud-Accounts in einer Region rotieren. Mit einer Nachfrist von 1 Stunde bis 24 Stunden.

Übergeordnetes Thema: Sicherheit

Wallet-Rotation

Sie können einen von zwei Wallet-Rotationstypen ausführen: sofort oder mit einer Verlängerungsfrist.

  • Unmittelbare Wallet-Rotation wird ohne Verzögerung initiiert.

  • Nach einer Wartezeit: Die Wallet-Rotation erfolgt nach einer Wartezeit. Während der Verlängerungsfrist bleiben die alten Clientzertifizierungsschlüssel für eine ausgewählte Zeit von 1 Stunde bis 24 Stunden gültig. Nach dem Ablauf der Verlängerungsfrist sind nur die neuen Clientzertifizierungsschlüssel gültig.

Sie können Wallets aus folgenden Gründen rotieren:

  • Wenn die Richtlinien Ihrer Organisation die regelmäßige Rotation des Zertifizierungsschlüssels für Kunden erfordern.

  • Wenn vermutet wird, dass ein Clientzertifizierungsschlüssel oder eine Gruppe von Schlüsseln kompromittiert wird.

Wallets sofort rotieren

Mit der sofortigen Wallet-Rotation können Sie vorhandene Clientzertifizierungsschlüssel für eine Autonomous Database-Instanz oder für alle Autonomous Database-Instanzen, die einem Cloud-Account in einer Region gehören, invalidieren.

Es gibt zwei Optionen für die sofortige Clientzertifizierungsschlüsselrotation:

  • Pro Datenbank mit ausgewähltem Instance Wallet:
    • Für die Datenbank, deren Zertifizierungsschlüssel rotiert wird, werden alle vorhandenen datenbankspezifischen Instanz-Wallets ungültig. Nach dem Rotieren eines Wallets müssen Sie ein neues Wallet herunterladen, um eine Verbindung zur Datenbank herzustellen.
    • Regionale Wallets mit allen Datenbankzertifizierungsschlüsseln funktionieren weiterhin.
    • Alle Benutzersessions werden für die Datenbank beendet, deren Wallet rotiert wird. Die Benutzersession wird beendet, nachdem die Wallet-Rotation abgeschlossen ist. Dieser Prozess findet jedoch nicht sofort statt.
    Hinweis

    Wenn Sie alle Verbindungen sofort nach Abschluss der Wallet-Rotation beenden möchten, empfiehlt Oracle, dass Sie die Autonomous Database-Instanz neu starten. Dadurch ist die höchste Sicherheitsebene für Ihre Datenbank gewährleistet.
  • Regionale Ebene, wenn Regionales Wallet ausgewählt ist:
    • Für die Region, deren Zertifizierungsschlüssel rotiert wird, werden sowohl regionale als auch Database-spezifische Instanz-Wallets storniert. Nach dem Rotieren eines Wallets müssen Sie neue regionale oder Instanz-Wallets herunterladen, um eine Verbindung zu einer Datenbank in der Region herzustellen.
    • Alle Benutzersessions werden für die Datenbanken in der Region beendet, deren Wallet rotiert wird. Die Benutzersession wird beendet, nachdem die Wallet-Rotation abgeschlossen ist. Dieser Prozess findet jedoch nicht sofort statt.
    Hinweis

    Wenn Sie alle Verbindungen sofort nach Abschluss der Wallet-Rotation beenden möchten, empfiehlt Oracle, dass Sie die Autonomous Database-Instanzen in der Region neu starten. Dadurch ist die höchste Sicherheitsebene für Ihre Datenbank gewährleistet.

So rotieren Sie den Clientzertifizierungsschlüssel für eine bestimmte Datenbank oder für alle Autonomous Database-Instanzen, die einem Cloud-Account in einer Region gehören:

  1. Navigieren Sie zur Autonomous Database-Detailseite.
  2. Klicken Sie auf Datenbankverbindung.
  3. Wählen Sie auf der Seite Datenbankverbindung den Wallet-Typ aus:
    • Instance Wallet: Wallet-Rotation nur für eine einzelne Datenbank, dient zur datenbankspezifischen Wallet-Rotation.
    • Regionales Wallet: Wallet-Rotation für alle autonomen Datenbanken für einen bestimmten Mandanten und eine bestimmte Region (mit dieser Option wird der Clientzertifizierungsschlüssel für alle Serviceinstanzen rotiert, für die ein Cloud-Account verantwortlich ist).
  4. Klicken Sie auf Wallet rotieren.
  5. Geben Sie den Namen wie im Dialogfeld angezeigt ein, um die Rotation des Wallets zu bestätigen.
  6. Klicken Sie im Dialogfeld "Wallet rotieren" auf Roten.

Auf der Seite "Datenbankverbindung" wird Folgendes angezeigt: Rotation wird ausgeführt.

Nachdem die Rotation abgeschlossen ist, werden im Feld Letzte Rotation des Wallets Datum und Uhrzeit der letzten Rotation angezeigt.

Oracle empfiehlt, dass Sie nach Möglichkeit ein datenbankspezifisches Instanz-Wallet für Endbenutzer und die Verwendung durch Anwendungen angeben. Dabei wird der Wallet-Typ auf Instanz-Wallet gesetzt, wenn Sie Wallet herunterladen verwenden. Regionale Wallets dürfen nur für administrative Zwecke verwendet werden, die potenziellen Zugriff auf alle autonomen Datenbanken in einer Region benötigen.

Sie können Wallets auch mit der Autonomous Database-API mit UpdateAutonomousDatabaseRegionalWallet und UpdateAutonomousDatabaseWallet rotieren. Weitere Informationen finden Sie unter Referenz zu Autonomous Database-Wallets.

Wallets mit Verlängerungsfrist rotieren

Mit Autonomous Database können Sie Wallets für eine Autonomous Database-Instanz oder für alle Instanzen eines Cloud-Accounts in einer Region rotieren. Mit einer Verlängerungsfrist von 1 Stunde bis 24 Stunden.

Wenn Sie eine Verlängerungsfrist festlegen, können Sie die Wallet-Rotation ohne Ausfallzeit ausführen. Während der Verlängerungsfrist können Sie Benutzer darüber informieren, dass das neue Wallet heruntergeladen und ihre Anwendungen zur Verwendung des neuen Wallets aktualisiert werden müssen. Während der Verlängerungsfrist sind sowohl der alte als auch der neue Clientzertifizierungsschlüssel gültig. Wenn die Verlängerungsfrist abgelaufen ist, invalidiert Autonomous Database die alten Clientzertifizierungsschlüssel, und nur die neuen Clientzertifizierungsschlüssel sind gültig.

Es gibt zwei Optionen für die Rotation des Clientzertifizierungsschlüssels mit einer Verlängerungsfrist:

  • Pro Datenbank mit ausgewähltem Instance Wallet:

    • Bei der Datenbank, deren Zertifizierungsschlüssel rotiert wird, sind datenbankspezifische Instanz-Wallets, die vor der Wallet-Rotation verwendet wurden, nachdem die Verlängerungszeit abgelaufen ist, ungültig.

    • Nachdem Sie die Rotation des Clientzertifizierungsschlüssels mit einer Verlängerungsfrist ausgeführt haben, können Sie sofort ein Wallet herunterladen und mit dem neuen Wallet eine Verbindung zur Datenbank herstellen.

    • Regionale Wallets mit allen Datenbankzertifizierungsschlüsseln funktionieren weiterhin.

    • Nach Ablauf der Verlängerungsfrist funktionieren vorhandene Verbindungen, die das alte Wallet verwenden, weiterhin.

    Hinweis

    Wenn Sie nach Abschluss der Verlängerungsfrist Verbindungen mit dem alten Wallet beenden möchten, empfiehlt Oracle, die Autonomous Database-Instanz neu zu starten.
  • Regionale Ebene, wenn Regionales Wallet ausgewählt ist:

    • Für die Region, deren Zertifizierungsschlüssel rotiert wird, werden sowohl regionale als auch Database-spezifische Instanz-Wallets storniert. Nachdem die Verlängerungsfrist abläuft, müssen Sie neue regionale oder Instanz-Wallets herunterladen, um eine Verbindung zu einer beliebigen Datenbank in der Region herzustellen.

    • Nach dem Ablauf der Verlängerungsfrist funktionieren vorhandene Verbindungen, die alte Wallets verwenden, weiterhin.

    Hinweis

    Wenn Sie nach Abschluss der Verlängerungsfrist Verbindungen mit den alten Wallets beenden möchten, empfiehlt Oracle, dass Sie jede Autonomous Database-Instanz in der Region neu starten.

So rotieren Sie den Clientzertifizierungsschlüssel mit einer Verlängerungsperiode für eine bestimmte Datenbank oder für alle Autonomous Database-Instanzen, die einem Cloud-Account in einer Region gehören:

  1. Navigieren Sie zur Autonomous Database-Detailseite.
  2. Klicken Sie auf Datenbankverbindung.
  3. Wählen Sie auf der Seite Datenbankverbindung den Wallet-Typ aus:
    • Instance Wallet: Wallet-Rotation nur für eine einzelne Datenbank, dient zur datenbankspezifischen Wallet-Rotation.
    • Regionales Wallet: Wallet-Rotation für alle autonomen Datenbanken für einen bestimmten Mandanten und eine bestimmte Region (mit dieser Option wird der Clientzertifizierungsschlüssel für alle Serviceinstanzen in der Region rotiert, für die ein Cloud-Account verantwortlich ist).
  4. Klicken Sie auf Wallet rotieren.
  5. Wählen Sie Nach einer Verlängerungsfrist aus.
  6. Geben Sie im Bereich Verlängerungsfrist (in Stunden) entweder einen Wert in das Textfeld ein, oder wählen Sie mit dem Regler einen Wert aus.
  7. Geben Sie den Namen wie im Dialogfeld angezeigt ein, um die Rotation des Wallets zu bestätigen.
  8. Klicken Sie im Dialogfeld "Wallet rotieren" auf Roten.

Auf der Seite "Datenbankverbindung" wird Folgendes angezeigt: Rotation wird ausgeführt.

Nachdem die Rotation abgeschlossen ist, werden im Feld Letzte Rotation des Wallets Datum und Uhrzeit der letzten Rotation angezeigt.

Hinweise zur Wallet-Rotation mit einer Verlängerungsfrist:

  • Autonome Datenbanken vom Typ "Always Free" unterstützen nur die sofortige Wallet-Rotation (Wallets mit einer Verlängerungsfrist werden nicht unterstützt).

  • Oracle empfiehlt, dass Sie nach Möglichkeit ein datenbankspezifisches Instanz-Wallet für Endbenutzer und die Verwendung durch Anwendungen angeben. Dabei wird der Wallet-Typ auf Instanz-Wallet gesetzt, wenn Sie Wallet herunterladen verwenden. Regionale Wallets dürfen nur für administrative Zwecke verwendet werden, die potenziellen Zugriff auf alle autonomen Datenbanken in einer Region benötigen.

Sie können Wallets auch mit der Autonomous Database-API mit UpdateAutonomousDatabaseRegionalWallet und UpdateAutonomousDatabaseWallet rotieren. Weitere Informationen finden Sie unter Referenz zu Autonomous Database-Wallets.