Als Organisationsadministrator können Sie die TLS-Protokolle und Verschlüsselungsalgorithmen angeben, die der interne Webserver des Portals für die sichere Kommunikation verwendet. So kann für Ihre Organisation möglicherweise die Verwendung bestimmter TLS-Protokolle und Verschlüsselungsalgorithmen erforderlich sein. Durch die Anforderung, dass das Portal die zertifizierten Protokolle und Algorithmen verwendet, wird sichergestellt, dass das Portal die Sicherheitsrichtlinien Ihrer Organisation weiterhin erfüllt.
Standard-TLS-Protokolle
Standardmäßig ist das Portal nur für die Verwendung der Protokolle TLSv1.3 und TLSv1.2 konfiguriert. Anhand der folgenden Schritte können Sie auch die Protokolle TLSv1 und TLSv1.1 aktivieren.
Verwenden von Standardverschlüsselungsalgorithmen
Das Portal ist standardmäßig für die Verwendung der folgenden Verschlüsselungsalgorithmen in der nachstehend angegebenen Reihenfolge konfiguriert:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_AES_256_GCM_SHA384 (nur TLSv1.3)
- TLS_AES_128_GCM_SHA256 (nur TLSv1.3)
Aus Sicherheitsgründen wurden mehrere Verschlüsselungsalgorithmen, die in vorherigen Versionen standardmäßig aktiviert waren, deaktiviert. Diese können bei Bedarf für ältere Clients wieder aktiviert werden. Die vollständige Liste der unterstützten Algorithmen finden Sie nachstehend unter Hinweise zu Verschlüsselungssammlungen.
Geben Sie im Portal-Administratorverzeichnis an, welche TLS-Protokolle und Verschlüsselungsalgorithmen im Portal verwendet werden sollen.
- Öffnen Sie das Portal-Administratorverzeichnis, und melden Sie sich als Administrator Ihrer Organisation an.
Die URL hat das Format https://webadaptorhost.example.com/webadaptorname/portaladmin.
- Klicken Sie auf Security > SSLCertificates > Update.
- Geben Sie im Textfeld SSL Protocols die zu verwendenden Protokolle an. Wenn Sie mehrere Protokolle angeben, trennen Sie sie jeweils durch Kommas, Beispiel TLSv1.2, TLSv1.1.
Hinweis:
Stellen Sie sicher, dass der Webserver, der den Web Adaptor hostet, für die Verwendung der von Ihnen aktivierten Protokolle konfiguriert ist.
- Geben Sie im Textfeld Verschlüsselungssammlung die zu verwendenden Verschlüsselungssammlung im IANA-Format an. Trennen Sie die Algorithmen jeweils durch Kommas. Beispiel: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
- Klicken Sie auf Aktualisieren.
Bei Angabe eines ungültigen Protokolls oder einer ungültigen Verschlüsselungssammlung wird eine Fehlermeldung zurückgegeben.
Referenzen zu Verschlüsselungssammlungen
Das Portal unterstützt die folgenden Algorithmen:
Cipher-ID | Name (IANA-Format) | Name (OpenSSL-Format) | Schlüsselaustausch | Authentifizierungsalgorithmus | Verschlüsselungsalgorithmen | Bits | Hashalgorithmus |
---|---|---|---|---|---|---|---|
0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDHE-RSA-AES256-GCM-SHA384 | ECDH | RSA | AES_256_GCM | 256 | SHA384 |
0xC028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDHE-RSA-AES256-SHA384 | ECDH | RSA | AES_256_CBC | 256 | SHA384 |
0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDHE-RSA-AES256-SHA | ECDH | RSA | AES_256_CBC | 256 | SHA |
0x009F | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | DHE-RSA-AES256-GCM-SHA384 | DH | RSA | AES_256_GCM | 256 | SHA384 |
0x006B | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | DHE-RSA-AES256-SHA256 | DH | RSA | AES_256_CBC | 256 | SHA256 |
0x0039 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | DHE-RSA-AES256-SHA | DH | RSA | AES_256_CBC | 256 | SHA |
0x009D | TLS_RSA_WITH_AES_256_GCM_SHA384 | AES256-GCM-SHA384 | RSA | RSA | AES_256_GCM | 256 | SHA384 |
0x003D | TLS_RSA_WITH_AES_256_CBC_SHA256 | AES256-SHA256 | RSA | RSA | AES_256_CBC | 256 | SHA256 |
0x0035 | TLS_RSA_WITH_AES_256_CBC_SHA | AES256-SHA | RSA | RSA | AES_256_CBC | 256 | SHA |
0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDHE-RSA-AES128-GCM-SHA256 | ECDH | RSA | AES_128_GCM | 128 | SHA256 |
0xC027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDHE-RSA-AES128-SHA256 | ECDH | RSA | AES_128_CBC | 128 | SHA256 |
0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDHE-RSA-AES128-SHA | ECDH | RSA | AES_128_CBC | 128 | SHA |
0x009E | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | DHE-RSA-AES128-GCM-SHA256 | DH | RSA | AES_128_GCM | 128 | SHA256 |
0x0067 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | DHE-RSA-AES128-SHA256 | DH | RSA | AES_128_CBC | 128 | SHA256 |
0x0033 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | DHE-RSA-AES128-SHA | DH | RSA | AES_128_CBC | 128 | SHA |
0x009C | TLS_RSA_WITH_AES_128_GCM_SHA256 | AES128-GCM-SHA256 | RSA | RSA | AES_128_GCM | 128 | SHA256 |
0x003C | TLS_RSA_WITH_AES_128_CBC_SHA256 | AES128-SHA256 | RSA | RSA | AES_128_CBC | 128 | SHA256 |
0x002F | TLS_RSA_WITH_AES_128_CBC_SHA | AES128-SHA | RSA | RSA | AES_128_CBC | 128 | SHA |
0xC012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDHE-RSA-DES-CBC3-SHA | ECDH | RSA | 3DES_EDE_CBC | 168 | SHA |
0x0016 | SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA | EDH-RSA-DES-CBC3-SHA | DH | RSA | 3DES_EDE_CBC | 168 | SHA |
0x000A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | DES-CBC3-SHA | RSA | RSA | 3DES_EDE_CBC | 168 | SHA |
0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ECDHE-ECDSA-AES256-GCM-SHA384 | ECDH | ECDSA | AES_256_GCM | 256 | SHA384 |
0xC024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ECDHE-ECDSA-AES256-SHA384 | ECDH | ECDSA | AES_256_CBC | 256 | SHA384 |
0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ECDHE-ECDSA-AES256-SHA | ECDH | ECDSA | AES_256_CBC | 256 | SHA |
0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ECDHE-ECDSA-AES128-GCM-SHA256 | ECDH | ECDSA | AES_128_GCM | 128 | SHA256 |
0xC023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ECDHE-ECDSA-AES128-SHA256 | ECDH | ECDSA | AES_128_CBC | 128 | SHA256 |
0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ECDHE-ECDSA-AES128-SHA | ECDH | ECDSA | AES_128_CBC | 128 | SHA |
0xC008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | ECDHE-ECDSA-DES-CBC3-SHA | ECDH | ECDSA | 3DES_EDE_CBC | 168 | SHA |
0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | ECDHE-RSA-CHACHA20-POLY1305 | ECDH | RSA | CHACHA20 POLY1305 | 256 | SHA256 |
0xCCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 | ECDHE-ECDSA-CHACHA20-POLY1305 | ECDH | ECDSA | CHACHA20 POLY1305 | 256 | SHA256 |
0x1301 | TLS_AES_128_GCM_SHA256 (TLSv1.3 only) | TLS_AES_128_GCM_SHA256 | - | - | AES_128_GCM | 128 | SHA256 |
0x1302 | TLS_AES_256_GCM_SHA384 (TLSv1.3 only) | TLS_AES_256_GCM_SHA384 | - | - | AES_256_GCM | 256 | SHA384 |
0x1303 | TLS_CHACHA20_POLY1305_SHA256 (TLSv1.3 only) | TLS_CHACHA20_POLY1305_SHA256 | - | - | CHACHA20 POLY1305 | 256 | SHA256 |
Terminologie
Die folgenden Begriffe werden in der Tabelle oben verwendet:
- ECDH: Elliptic-Curve Diffie-Hellman
- DH: Diffie-Hellman
- RSA: Rivest, Shamir, Adleman
- ECDSA: Elliptic Curve Digital Signature Algorithm
- AES: Advanced Encryption Standard
- GCM: Galois/Counter Mode (ein für kryptographische Blockchiffren verwendeter Betriebsmodus)
- CBC: Cipher Block Chaining
- 3DES: Triple Data Encryption Algorithm
- SHA: Secure Hashing Algorithm
- CHACHA20: ChaCha Stream Cipher
- POLY1305: Poly1305 Authenticator