Als ArcGIS-Server-Administrator können Sie angeben, welche SSL-Protokolle und Verschlüsselungsalgorithmen ArcGIS-Server für die sichere Kommunikation verwendet. So kann für Ihre Organisation beispielsweise die Verwendung bestimmter SSL-Protokolle und Verschlüsselungsalgorithmen erforderlich sein. Durch die Anforderung, dass ArcGIS for Server die zertifizierten Protokolle und Algorithmen verwendet, wird sichergestellt, dass die Site die Sicherheitsrichtlinien Ihrer Organisation weiterhin erfüllt.
SSL-Standardprotokolle
Standardmäßig verwendet ArcGIS-Server die folgenden Protokolle:
- TLSv1
- TLSv1.1
- TLSv1.2
Standardverschlüsselungsalgorithmen
ArcGIS-Server ist auf die folgenden Verschlüsselungsalgorithmen beschränkt und aktiviert alle davon standardmäßig:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
Weitere Informationen zu diesen Verschlüsselungsalgorithmen finden Sie nachstehend unter Hinweise zu Veschlüsselungssammlungen.
Im ArcGIS for Server-Administratorverzeichnis geben Sie an, welche SSL-Protokolle und Verschlüsselungsalgorithmen auf Ihrer Site verwendet werden sollen.
- Öffnen Sie das ArcGIS for Server-Administratorverzeichnis, und melden Sie sich als Administrator Ihrer Site an. Die URL hat das Format https://gisserver.domain.com:6443/arcgis/admin.
- Klicken Sie auf Security > Config > Update.
- Geben Sie im Textfeld SSL Protocols die zu verwendenden Protokolle an. Wenn Sie mehrere Protokolle angeben, trennen Sie sie jeweils durch Kommas voneinander ab. Z. B.: TLSv1.2, TLSv1.1.
Wenn Sie vorhaben, TLSv1 auf der Site zu deaktivieren, stellen Sie bitte sicher, dass der Webserver, der den Web Adaptor hostet, zu einer lückenlosen Kommunikation über TLSv1.1 oder TLSv1.2 in der Lage ist. Wenn Sie einen Java Web Adaptor verwenden, muss der Webserver, auf dem Web Adaptor gehostet wird, Java 8 verwenden.
- Geben Sie im Textfeld Cipher Suites die zu verwendenden Verschlüsselungsalgorithmen an. Wenn Sie mehrere Algorithmen angeben, trennen Sie sie jeweils durch Kommas voneinander ab. Z. B.: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA.
- Klicken Sie auf Update. Bei Angabe eines ungültigen Protokolls oder einer ungültigen Cipher-Suite wird eine Fehlermeldung zurückgegeben.
Hinweise zu Veschlüsselungssammlungen
| Cipher-ID | Name | Austausch von Schlüsseln | Authentifizierungsalgorithmus | Verschlüsselungsalgorithmen | Bits | Hashfunktionsalgorithmus |
|---|---|---|---|---|---|---|
| 0x00C02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDHE | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDHE | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDHE | RSA | AES_128_CBC | 128 | SHA |
| 0x00C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDHE | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x00009C | TLS_RSA_WITH_AES_128_GCM_SHA256 | RSA | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00003C | TLS_RSA_WITH_AES_128_CBC_SHA256 | RSA | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00002F | TLS_RSA_WITH_AES_128_CBC_SHA | RSA | RSA | AES_128_CBC | 128 | SHA |
| 0x00000A | TLS_RSA_WITH_3DES_EDE_CBC_SHA | RSA | RSA | 3DES_EDE_CBC | 168 | SHA |
Terminologie
- ECDHE – Diffie-Hellman-Schlüsselaustausch
- RSA – Rivest, Shamir, Adleman
- AES – Advanced Encryption Standard
- GCM – Galois/Counter Mode (ein für kryptographische Blockchiffren verwendeter Betriebsmodus)
- CBC – Cipher Block Chaining
- 3DES – Triple Data Encryption Algorithm
- SHA – Secure Hashing Algorithm