Als ArcGIS Server-Administrator können Sie festlegen, welche TLS-Protokolle und Verschlüsselungsalgorithmen ArcGIS Server für die sichere Kommunikation verwendet. Möglicherweise muss Ihre Organisation bestimmte TLS-Protokolle und Verschlüsselungsalgorithmen verwenden, oder der Webserver, auf dem Sie ArcGIS Server bereitstellen, lässt nur bestimmte Protokolle und Algorithmen zu. Durch die Vorgabe, dass ArcGIS Server die zertifizierten Protokolle und Algorithmen verwendet, wird sichergestellt, dass die Site die Sicherheitsrichtlinien Ihrer Organisation weiterhin erfüllt.
Aufgrund der 2014 veröffentlichten POODLE-Schwachstelle besteht in ArcGIS Server keine Unterstützung mehr für Secure Sockets Layer (SSL)-Protokolle in 10.3 und höher, Sie werden aber dennoch SSL in der Software sehen, damit auf TLS-Protokolle verwiesen werden kann.
TLS-Protokolle
Standardmäßig nutzt ArcGIS Server nur das TLS-Protokoll der Version 1.2. Die TLS 1.0- und 1.1-Protokolle können mit den unten genannten Schritten ebenfalls aktiviert werden.
Standardverschlüsselungsalgorithmen
ArcGIS Server ist standardmäßig für die Verwendung der folgenden Verschlüsselungsalgorithmen in der nachstehend angegebenen Reihenfolge konfiguriert:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
Aus Sicherheitsgründen sind mehrere Verschlüsselungsalgorithmen, die in vorherigen Versionen standardmäßig aktiviert waren, nun deaktiviert. Diese können bei Bedarf für ältere Clients aktiviert werden. Weitere Informationen zur vollständigen Liste der unterstützten Algorithmen finden Sie nachstehend unter Hinweise zu Verschlüsselungssammlungen.
Im ArcGIS Server-Administratorverzeichnis geben Sie an, welche SSL-Protokolle und Verschlüsselungsalgorithmen auf Ihrer Site verwendet werden sollen.
- Öffnen Sie das ArcGIS Server-Administratorverzeichnis, und melden Sie sich als Administrator Ihrer Site an. Die URL hat das Format https://gisserver.domain.com:6443/arcgis/admin.
- Klicken Sie auf Security > Config > Update.
- Geben Sie im Textfeld SSL Protocols die zu verwendenden Protokolle an. Wenn Sie mehrere Protokolle angeben, trennen Sie sie jeweils durch Kommas voneinander ab. Z. B.: TLSv1.2, TLSv1.1.
Hinweis:
Stellen Sie sicher, dass der Webserver, der den Web Adaptor hostet, zu einer lückenlosen Kommunikation über die von Ihnen aktivierten Protokolle in der Lage ist. Wenn Sie einen Java Web Adaptor verwenden, muss der Webserver, auf dem der Web Adaptor gehostet wird, Java 8 oder höher verwenden.
- Geben Sie im Textfeld Cipher-Suites die zu verwendenden Verschlüsselungsalgorithmen an. Wenn Sie mehrere Algorithmen angeben, trennen Sie sie jeweils durch Kommas voneinander ab. Z. B.: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
- Klicken Sie auf Aktualisieren. Bei Angabe eines ungültigen Protokolls oder einer ungültigen Cipher-Suite wird eine Fehlermeldung zurückgegeben.
Cipher-Suites-Referenzen
Cipher-ID | Name | Schlüsselaustausch | Authentifizierungsalgorithmus | Verschlüsselungsalgorithmen | Bits | Hashalgorithmus |
---|---|---|---|---|---|---|
0x00C030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDH | RSA | AES_256_GCM | 256 | SHA384 |
0x00C028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDH | RSA | AES_256_CBC | 256 | SHA384 |
0x00C014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDH | RSA | AES_256_CBC | 256 | SHA |
0x00009F | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | DH | RSA | AES_256_GCM | 256 | SHA384 |
0x00006B | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | DH | RSA | AES_256_CBC | 256 | SHA256 |
0x000039 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | DH | RSA | AES_256_CBC | 256 | SHA |
0x00009D | TLS_RSA_WITH_AES_256_GCM_SHA384 | RSA | RSA | AES_256_GCM | 256 | SHA384 |
0x00003D | TLS_RSA_WITH_AES_256_CBC_SHA256 | RSA | RSA | AES_256_CBC | 256 | SHA256 |
0x000035 | TLS_RSA_WITH_AES_256_CBC_SHA | RSA | RSA | AES_256_CBC | 256 | SHA |
0x00C02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDH | RSA | AES_128_GCM | 128 | SHA256 |
0x00C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDH | RSA | AES_128_CBC | 128 | SHA256 |
0x00C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDH | RSA | AES_128_CBC | 128 | SHA |
0x00009E | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | DH | RSA | AES_128_GCM | 128 | SHA256 |
0x000067 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | DH | RSA | AES_128_CBC | 128 | SHA256 |
0x000033 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | DH | RSA | AES_128_CBC | 128 | SHA |
0x00009C | TLS_RSA_WITH_AES_128_GCM_SHA256 | RSA | RSA | AES_128_GCM | 128 | SHA256 |
0x00003C | TLS_RSA_WITH_AES_128_CBC_SHA256 | RSA | RSA | AES_128_CBC | 128 | SHA256 |
0x00002F | TLS_RSA_WITH_AES_128_CBC_SHA | RSA | RSA | AES_128_CBC | 128 | SHA |
0x00C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDH | RSA | 3DES_EDE_CBC | 168 | SHA |
0x000016 | SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA | DH | RSA | 3DES_EDE_CBC | 168 | SHA |
0x00000A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | RSA | RSA | 3DES_EDE_CBC | 168 | SHA |
0x00C02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ECDH | ECDSA | AES_256_GCM | 256 | SHA384 |
0x00C024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ECDH | ECDSA | AES_256_CBC | 256 | SHA384 |
0x00C00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ECDH | ECDSA | AES_256_CBC | 256 | SHA |
0x00C02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ECDH | ECDSA | AES_128_GCM | 128 | SHA256 |
0x00C023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ECDH | ECDSA | AES_128_CBC | 128 | SHA256 |
0x00C009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ECDH | ECDSA | AES_128_CBC | 128 | SHA |
0x00C008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | ECDH | ECDSA | 3DES_EDE_CBC | 168 | SHA |
Terminologie
- ECDH: Diffie-Hellman-Schlüsselaustausch
- DH: Diffie-Hellman
- RSA: Rivest, Shamir, Adleman
- ECDSA: Elliptic Curve Digital Signature Algorithm
- AES: Advanced Encryption Standard
- GCM – Galois/Counter Mode (ein für kryptographische Blockchiffren verwendeter Betriebsmodus)
- CBC: Cipher Block Chaining
- 3DES: Dreifach-Daten-Verschlüsselungsalgorithmen
- SHA: Secure Hashing Algorithm