Standardmäßig erzwingt ArcGIS Server die Verwendung des HTTPS-Protokolls, um einen sicheren Kommunikationskanal für den Webdatenverkehr zu erstellen. Die Vertraulichkeit und Integrität des Netzwerks sind beim Aufrufen der ArcGIS Server-URLs über HTTPS gewährleistet. Da über HTTP gesendete Kennwörter abgefangen und gestohlen werden können, hat Esri-Anwendungen entwickelt, die sich mit ArcGIS Server verbinden und den Benutzernamen und das Kennwort mit dem öffentlichen Schlüssel basierend auf dem RSA-Verschlüsselungsalgorithmus verschlüsseln, bevor die Daten über das Netzwerk übermittelt werden.
Die Verwendung von HTTPS schützt vor Man-in-the-Middle-Angriffen, bei denen ein bösartiger Agent ungesicherte Kommunikationen in einem Netzwerk abfängt und sich sowohl dem Client als auch dem Server gegenüber als legitime Quelle der Kommunikationen ausgibt.
Die Kommunikation über HTTPS kommt durch die Verwendung digitaler Zertifikate zustande. Die Zertifikate werden von einer Zertifizierungsstelle (CA) signiert, um eine vertrauenswürdige Verbindung zwischen dem Client und dem Server sicherzustellen. ArcGIS Server verfügt über eine eigene interne Zertifizierungsstelle und wird mit einem standardmäßigen selbstsignierten Zertifikat geliefert. Dennoch empfiehlt es sich, ein von einer externen Zertifizierungsstelle signiertes Zertifikat zu konfigurieren. Der Grund hierfür ist, dass die meisten Browser vor der Verwendung selbstsignierter Zertifikate warnen bzw. sie zu unterbinden versuchen, sodass Sie die Warnungen unterdrücken müssen, wenn Sie ein solches Zertifikat verwenden. Ihr IT-Administrator sollte in der Lage sein, von einer externen Zertifizierungsstelle signierte Zertifikate bereitzustellen.
Unter Serverzertifikate finden Sie weitere Informationen über Zertifikate sowie ausführliche Beschreibungen verschiedener Zertifikatkonfigurationen mit ArcGIS Server.
Hinweis:
Die SSL-Auslagerung über einen Reverseproxy oder Load Balancer wird von ArcGIS Server nicht unterstützt. Wird in Ihrer Konfiguration ein Reverseproxy verwendet, muss die Weiterleitung über HTTPS entweder an ArcGIS Web Adaptor oder direkt an ArcGIS Server erfolgen.
Ändern der HTTP-Protokolleinstellungen
Es kann Situationen geben, in denen ArcGIS Server-Administratoren die standardmäßige Beschränkung der HTTP-Kommunikation lockern möchten. In fast allen Fällen soll dies die Kommunikation sowohl über HTTP als auch über HTTPS ermöglichen. Sie können hierzu das ArcGIS Server-Administratorverzeichnis verwenden.
- Melden Sie sich als Administrator bei dem Verzeichnis an. Die URL weist das Format https://server.domain.com:6443/arcgis/admin auf.
- Navigieren Sie zu security > config > update.
- Öffnen Sie das Dropdown-Menü Protokoll, und wählen Sie das gewünschte Protokoll aus.
Vorsicht:
Nur in sehr seltenen Fällen wird ein Administrator Nur HTTP für das Site-Protokoll einstellen. Wenn Sie sich nicht sicher sind, wählen Sie die Einstellung HTTP und HTTPS oder Nur HTTPS aus.
- Klicken Sie zur Bestätigung auf Aktualisieren.
Der Server wird neu gestartet.
Aktivieren von HTTP Strict Transport Security
Wenn Sie die strikte Verwendung von HTTPS in Ihrer ArcGIS Server-Site erzwingen möchten, können Sie HSTS-Header (HTTP Strict Transport Security) aktivieren. Ist HSTS aktiviert, sendet der Server mit allen zurückgegebenen Antworten einen Strict-Transport-Security-Header; dieser weist den Empfänger-Browser an, für eine bestimmte, durch den Header definierte Zeit (standardmäßig ein Jahr) nur HTTPS-Serveranfragen zu verwenden. HSTS ist standardmäßig deaktiviert, erzwingt jedoch die Verwendung des Protokolls "Nur HTTPS".
Weitere Informationen finden Sie unter Erzwingen von Strict HTTPS.
Unterstützte TLS-Versionen
TLS (Transport Layer Security) ist ein kryptografisches Protokoll, das Kommunikationssicherheit über ein Netzwerk bereitstellt. ArcGIS Server unterstützt standardmäßig TLS 1.2. Sie können auch die Versionen 1.0 und 1.1 des TLS-Protokolls aktivieren. Weitere Informationen finden Sie unter Beschränken von TLS-Protokollen und Veschlüsselungssammlungen.
Ältere Versionen:
Ab Version 10.3 wird SSL (Secure Sockets Layer) nicht mehr unterstützt, da SSL 3.0 das Sicherheitsrisiko POODLE in sich trägt.