Als ArcGIS Server-Administrator können Sie festlegen, welche TLS-Protokolle und Verschlüsselungsalgorithmen ArcGIS Server für die sichere Kommunikation verwendet. Möglicherweise muss Ihre Organisation bestimmte TLS-Protokolle und Verschlüsselungsalgorithmen verwenden, oder der Webserver, auf dem Sie ArcGIS Server bereitstellen, lässt nur bestimmte Protokolle und Algorithmen zu. Durch die Vorgabe, dass ArcGIS Server die zertifizierten Protokolle und Algorithmen verwendet, wird sichergestellt, dass die Site die Sicherheitsrichtlinien Ihrer Organisation weiterhin erfüllt.
Aufgrund der 2014 veröffentlichten POODLE-Schwachstelle besteht in ArcGIS Server keine Unterstützung mehr für Secure Sockets Layer (SSL)-Protokolle in 10.3 und höher, Sie werden aber dennoch SSL in der Software sehen, damit auf TLS-Protokolle verwiesen werden kann.
TLS-Protokolle
Standardmäßig werden in ArcGIS Server nur die Protokolle TLSv1.3 und TLSv1.2 verwendet. Anhand der folgenden Schritte können Sie auch die Protokolle TLSv1 und TLSv1.1 aktivieren.
Standardverschlüsselungsalgorithmen
ArcGIS Server ist standardmäßig für die Verwendung der folgenden Verschlüsselungsalgorithmen in der nachstehend angegebenen Reihenfolge konfiguriert:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_AES_256_GCM_SHA384 (nur TLSv1.3)
- TLS_AES_128_GCM_SHA256 (nur TLSv1.3)
Aus Sicherheitsgründen wurden mehrere Verschlüsselungsalgorithmen, die in vorherigen Versionen standardmäßig aktiviert waren, deaktiviert. Diese können bei Bedarf für ältere Clients wieder aktiviert werden. Die vollständige Liste der unterstützten Algorithmen finden Sie nachstehend unter Hinweise zu Verschlüsselungssammlungen.
Geben Sie im ArcGIS Server-Administratorverzeichnis an, welche TLS-Protokolle und Verschlüsselungsalgorithmen auf Ihrer Site verwendet werden sollen.
- Öffnen Sie das ArcGIS Server-Administratorverzeichnis, und melden Sie sich als Administrator Ihrer Site an.
Die URL hat das Format https://gisserver.domain.com:6443/arcgis/admin.
- Klicken Sie auf Security > Config > Update.
- Geben Sie im Textfeld SSL Protocols die zu verwendenden Protokolle an. Wenn Sie mehrere Protokolle angeben, trennen Sie sie jeweils durch Kommas, Beispiel TLSv1.2, TLSv1.1.
Hinweis:
Stellen Sie sicher, dass der Webserver, der den Web Adaptor hostet, über die von Ihnen aktivierten Protokolle umfassend kommunizieren kann. Wenn Sie einen Java Web Adaptor verwenden, muss der Webserver, auf dem der Web Adaptor gehostet wird, Java 8 oder höher verwenden.
- Geben Sie im Textfeld Cipher-Suites die zu verwendenden Verschlüsselungsalgorithmen an. Wenn Sie mehrere Algorithmen angeben, trennen Sie sie jeweils durch Kommas. Beispiel: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
- Klicken Sie auf Aktualisieren.
Bei Angabe eines ungültigen Protokolls oder einer ungültigen Cipher Suite wird eine Fehlermeldung zurückgegeben.
Cipher Suites-Referenzen
ArcGIS Server unterstützt die folgenden Algorithmen:
| Cipher-ID | Name | Schlüsselaustausch | Authentifizierungsalgorithmus | Verschlüsselungsalgorithmen | Bits | Hashalgorithmus |
|---|---|---|---|---|---|---|
| 0x00C030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDH | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00C028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDH | RSA | AES_256_CBC | 256 | SHA384 |
| 0x00C014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDH | RSA | AES_256_CBC | 256 | SHA |
| 0x00009F | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | DH | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00006B | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | DH | RSA | AES_256_CBC | 256 | SHA256 |
| 0x000039 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | DH | RSA | AES_256_CBC | 256 | SHA |
| 0x00009D | TLS_RSA_WITH_AES_256_GCM_SHA384 | RSA | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00003D | TLS_RSA_WITH_AES_256_CBC_SHA256 | RSA | RSA | AES_256_CBC | 256 | SHA256 |
| 0x000035 | TLS_RSA_WITH_AES_256_CBC_SHA | RSA | RSA | AES_256_CBC | 256 | SHA |
| 0x00C02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDH | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDH | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDH | RSA | AES_128_CBC | 128 | SHA |
| 0x00009E | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | DH | RSA | AES_128_GCM | 128 | SHA256 |
| 0x000067 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | DH | RSA | AES_128_CBC | 128 | SHA256 |
| 0x000033 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | DH | RSA | AES_128_CBC | 128 | SHA |
| 0x00009C | TLS_RSA_WITH_AES_128_GCM_SHA256 | RSA | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00003C | TLS_RSA_WITH_AES_128_CBC_SHA256 | RSA | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00002F | TLS_RSA_WITH_AES_128_CBC_SHA | RSA | RSA | AES_128_CBC | 128 | SHA |
| 0x00C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDH | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x000016 | SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA | DH | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x00000A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | RSA | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x00C02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ECDH | ECDSA | AES_256_GCM | 256 | SHA384 |
| 0x00C024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ECDH | ECDSA | AES_256_CBC | 256 | SHA384 |
| 0x00C00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ECDH | ECDSA | AES_256_CBC | 256 | SHA |
| 0x00C02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ECDH | ECDSA | AES_128_GCM | 128 | SHA256 |
| 0x00C023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ECDH | ECDSA | AES_128_CBC | 128 | SHA256 |
| 0x00C009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ECDH | ECDSA | AES_128_CBC | 128 | SHA |
| 0x00C008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | ECDH | ECDSA | 3DES_EDE_CBC | 168 | SHA |
| 0x1302 | TLS_AES_256_GCM_SHA384 | - | - | AES_256_GCM | 256 | SHA384 |
| 0x1301 | TLS_AES_128_GCM_SHA256 | - | - | AES_128_GCM | 128 | SHA256 |
Terminologie
Die folgenden Begriffe werden in der Tabelle oben verwendet:
- ECDH: Diffie-Hellman-Schlüsselaustausch
- DH: Diffie-Hellman
- RSA: Rivest, Shamir, Adleman
- ECDSA: Elliptic Curve Digital Signature Algorithm
- AES: Advanced Encryption Standard
- GCM: Galois/Counter Mode (ein für kryptographische Blockchiffren verwendeter Betriebsmodus)
- CBC: Cipher Block Chaining
- 3DES: Dreifach-Daten-Verschlüsselungsalgorithmen
- SHA: Secure Hashing Algorithm