Skip To Content

Beschränken von SSL-Protokollen und Veschlüsselungssammlungen

Als ArcGIS-Server-Administrator können Sie angeben, welche SSL-Protokolle und Verschlüsselungsalgorithmen ArcGIS-Server für die sichere Kommunikation verwendet. So kann für Ihre Organisation beispielsweise die Verwendung bestimmter SSL-Protokolle und Verschlüsselungsalgorithmen erforderlich sein. Durch die Anforderung, dass ArcGIS for Server die zertifizierten Protokolle und Algorithmen verwendet, wird sichergestellt, dass die Site die Sicherheitsrichtlinien Ihrer Organisation weiterhin erfüllt.

SSL-Standardprotokolle

Standardmäßig verwendet ArcGIS-Server die folgenden Protokolle:

  • TLSv1
  • TLSv1.1
  • TLSv1.2

Standardverschlüsselungsalgorithmen

ArcGIS-Server ist auf die folgenden Verschlüsselungsalgorithmen beschränkt und aktiviert alle davon standardmäßig:

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

Weitere Informationen zu diesen Verschlüsselungsalgorithmen finden Sie nachstehend unter Hinweise zu Veschlüsselungssammlungen.

Im ArcGIS for Server-Administratorverzeichnis geben Sie an, welche SSL-Protokolle und Verschlüsselungsalgorithmen auf Ihrer Site verwendet werden sollen.

  1. Öffnen Sie das ArcGIS for Server-Administratorverzeichnis, und melden Sie sich als Administrator Ihrer Site an. Die URL hat das Format https://gisserver.domain.com:6443/arcgis/admin.
  2. Klicken Sie auf Security > Config > Update.
  3. Geben Sie im Textfeld SSL Protocols die zu verwendenden Protokolle an. Wenn Sie mehrere Protokolle angeben, trennen Sie sie jeweils durch Kommas voneinander ab. Z. B.: TLSv1.2, TLSv1.1.

    Wenn Sie vorhaben, TLSv1 auf der Site zu deaktivieren, stellen Sie bitte sicher, dass der Webserver, der den Web Adaptor hostet, zu einer lückenlosen Kommunikation über TLSv1.1 oder TLSv1.2 in der Lage ist. Wenn Sie einen Java Web Adaptor verwenden, muss der Webserver, auf dem Web Adaptor gehostet wird, Java 8 verwenden.

  4. Geben Sie im Textfeld Cipher Suites die zu verwendenden Verschlüsselungsalgorithmen an. Wenn Sie mehrere Algorithmen angeben, trennen Sie sie jeweils durch Kommas voneinander ab. Z. B.: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA.
  5. Klicken Sie auf Update. Bei Angabe eines ungültigen Protokolls oder einer ungültigen Cipher-Suite wird eine Fehlermeldung zurückgegeben.

Hinweise zu Veschlüsselungssammlungen

Cipher-IDNameAustausch von SchlüsselnAuthentifizierungsalgorithmusVerschlüsselungsalgorithmenBitsHashfunktionsalgorithmus
0x00C02FTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256ECDHERSAAES_128_GCM

128

SHA256
0x00C027TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256ECDHERSAAES_128_CBC

128

SHA256
0x00C013TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAECDHERSAAES_128_CBC

128

SHA
0x00C012TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHAECDHERSA3DES_EDE_CBC

168

SHA
0x00009CTLS_RSA_WITH_AES_128_GCM_SHA256RSARSAAES_128_GCM

128

SHA256
0x00003CTLS_RSA_WITH_AES_128_CBC_SHA256RSARSAAES_128_CBC

128

SHA256
0x00002FTLS_RSA_WITH_AES_128_CBC_SHARSARSAAES_128_CBC

128

SHA
0x00000ATLS_RSA_WITH_3DES_EDE_CBC_SHARSARSA3DES_EDE_CBC

168

SHA

Terminologie

  • ECDHE – Diffie-Hellman-Schlüsselaustausch
  • RSA – Rivest, Shamir, Adleman
  • AES – Advanced Encryption Standard
  • GCM – Galois/Counter Mode (ein für kryptographische Blockchiffren verwendeter Betriebsmodus)
  • CBC – Cipher Block Chaining
  • 3DES – Triple Data Encryption Algorithm
  • SHA – Secure Hashing Algorithm