Als Portal-Administrator können Sie die TLS-Protokolle und Verschlüsselungsalgorithmen angeben, die der interne Webserver des Portals für die sichere Kommunikation verwendet. So kann für Ihre Organisation möglicherweise die Verwendung bestimmter TLS-Protokolle und Verschlüsselungsalgorithmen erforderlich sein. Durch die Anforderung, dass das Portal die zertifizierten Protokolle und Algorithmen verwendet, wird sichergestellt, dass das Portal die Sicherheitsrichtlinien Ihrer Organisation weiterhin erfüllt.
Standard-TLS-Protokolle
Standardmäßig ist das Portal nur für die Verwendung der Protokolle TLSv1.3 und TLSv1.2 konfiguriert. Anhand der folgenden Schritte können Sie auch die Protokolle TLSv1 und TLSv1.1 aktivieren.
Standardverschlüsselungsalgorithmen
Das Portal ist standardmäßig für die Verwendung der folgenden Verschlüsselungsalgorithmen in der nachstehend angegebenen Reihenfolge konfiguriert:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_AES_256_GCM_SHA384 (nur TLSv1.3)
- TLS_AES_128_GCM_SHA256 (nur TLSv1.3)
Aus Sicherheitsgründen wurden mehrere Verschlüsselungsalgorithmen, die in vorherigen Versionen standardmäßig aktiviert waren, deaktiviert. Diese können bei Bedarf für ältere Clients wieder aktiviert werden. Die vollständige Liste der unterstützten Algorithmen finden Sie nachstehend unter Hinweise zu Verschlüsselungssammlungen.
Verwenden Sie das ArcGIS-Portalverzeichnis, um anzugeben Sie, welche TLS-Protokolle und Verschlüsselungsalgorithmen das Portal verwendet.
- Öffnen Sie das ArcGIS-Portalverzeichnis, und melden Sie sich als Administrator Ihrer Organisation an.
Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Klicken Sie auf Security > SSLCertificates > Update.
- Geben Sie im Textfeld SSL Protocols die zu verwendenden Protokolle an. Wenn Sie mehrere Protokolle angeben, trennen Sie sie jeweils durch Kommas, Beispiel TLSv1.2, TLSv1.1.
Hinweis:
Stellen Sie sicher, dass der Webserver, der den Web Adaptor hostet, für die Verwendung der von Ihnen aktivierten Protokolle konfiguriert ist. Wenn Sie einen Java Web Adaptor verwenden, muss der Webserver, auf dem Web Adaptor gehostet wird, Java 8 verwenden.
- Geben Sie im Textfeld Cipher-Suites die zu verwendenden Verschlüsselungsalgorithmen an. Wenn Sie mehrere Algorithmen angeben, trennen Sie sie jeweils durch Kommas, Beispiel TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
- Klicken Sie auf Aktualisieren.
Bei Angabe eines ungültigen Protokolls oder einer ungültigen Cipher Suite wird eine Fehlermeldung zurückgegeben.
Cipher Suites-Referenzen
Das Portal unterstützt die folgenden Algorithmen:
| Cipher-ID | Name | Schlüsselaustausch | Authentifizierungsalgorithmus | Verschlüsselungsalgorithmen | Bits | Hashalgorithmus |
|---|---|---|---|---|---|---|
| 0x00C030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDH | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00C028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDH | RSA | AES_256_CBC | 256 | SHA384 |
| 0x00C014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDH | RSA | AES_256_CBC | 256 | SHA |
| 0x00009F | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | DH | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00006B | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | DH | RSA | AES_256_CBC | 256 | SHA256 |
| 0x000039 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | DH | RSA | AES_256_CBC | 256 | SHA |
| 0x00009D | TLS_RSA_WITH_AES_256_GCM_SHA384 | RSA | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00003D | TLS_RSA_WITH_AES_256_CBC_SHA256 | RSA | RSA | AES_256_CBC | 256 | SHA256 |
| 0x000035 | TLS_RSA_WITH_AES_256_CBC_SHA | RSA | RSA | AES_256_CBC | 256 | SHA |
| 0x00C02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDH | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDH | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDH | RSA | AES_128_CBC | 128 | SHA |
| 0x00009E | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | DH | RSA | AES_128_GCM | 128 | SHA256 |
| 0x000067 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | DH | RSA | AES_128_CBC | 128 | SHA256 |
| 0x000033 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | DH | RSA | AES_128_CBC | 128 | SHA |
| 0x00009C | TLS_RSA_WITH_AES_128_GCM_SHA256 | RSA | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00003C | TLS_RSA_WITH_AES_128_CBC_SHA256 | RSA | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00002F | TLS_RSA_WITH_AES_128_CBC_SHA | RSA | RSA | AES_128_CBC | 128 | SHA |
| 0x00C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDH | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x000016 | SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA | DH | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x00000A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | RSA | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x00C02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ECDH | ECDSA | AES_256_GCM | 256 | SHA384 |
| 0x00C024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ECDH | ECDSA | AES_256_CBC | 256 | SHA384 |
| 0x00C00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ECDH | ECDSA | AES_256_CBC | 256 | SHA |
| 0x00C02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ECDH | ECDSA | AES_128_GCM | 128 | SHA256 |
| 0x00C023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ECDH | ECDSA | AES_128_CBC | 128 | SHA256 |
| 0x00C009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ECDH | ECDSA | AES_128_CBC | 128 | SHA |
| 0x00C008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | ECDH | ECDSA | 3DES_EDE_CBC | 168 | SHA |
| 0x1302 | TLS_AES_256_GCM_SHA384 | - | - | AES_256_GCM | 256 | SHA384 |
| 0x1301 | TLS_AES_128_GCM_SHA256 | - | - | AES_128_GCM | 128 | SHA256 |
Terminologie
Die folgenden Begriffe werden in der Tabelle oben verwendet:
- ECDH: Diffie-Hellman-Schlüsselaustausch
- DH: Diffie-Hellman
- RSA: Rivest, Shamir, Adleman
- ECDSA: Elliptic Curve Digital Signature Algorithm
- AES: Advanced Encryption Standard
- GCM: Galois/Counter Mode (ein für kryptographische Blockchiffren verwendeter Betriebsmodus)
- CBC: Cipher Block Chaining
- 3DES: Dreifach-Daten-Verschlüsselungsalgorithmen
- SHA: Secure Hashing Algorithm