Skip To Content

Beschränken von TLS-Protokollen und Cipher Suites

Als ArcGIS Server-Administrator können Sie festlegen, welche TLS-Protokolle und Verschlüsselungsalgorithmen ArcGIS Server für die sichere Kommunikation verwendet. Möglicherweise muss Ihre Organisation bestimmte TLS-Protokolle und Verschlüsselungsalgorithmen verwenden, oder der Webserver, auf dem Sie ArcGIS Server bereitstellen, lässt nur bestimmte Protokolle und Algorithmen zu. Durch die Vorgabe, dass ArcGIS Server die zertifizierten Protokolle und Algorithmen verwendet, wird sichergestellt, dass die Site die Sicherheitsrichtlinien Ihrer Organisation weiterhin erfüllt.

Aufgrund der 2014 veröffentlichten POODLE-Schwachstelle besteht in ArcGIS Server keine Unterstützung mehr für Secure Sockets Layer (SSL)-Protokolle in 10.3 und höher, Sie werden aber dennoch SSL in der Software sehen, damit auf TLS-Protokolle verwiesen werden kann.

TLS-Protokolle

Standardmäßig werden in ArcGIS Server nur die Protokolle TLSv1.3 und TLSv1.2 verwendet. Anhand der folgenden Schritte können Sie auch die Protokolle TLSv1 und TLSv1.1 aktivieren.

Standardverschlüsselungsalgorithmen

ArcGIS Server ist standardmäßig für die Verwendung der folgenden Verschlüsselungsalgorithmen in der nachstehend angegebenen Reihenfolge konfiguriert:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_AES_256_GCM_SHA384 (nur TLSv1.3)
  • TLS_AES_128_GCM_SHA256 (nur TLSv1.3)

Aus Sicherheitsgründen wurden mehrere Verschlüsselungsalgorithmen, die in vorherigen Versionen standardmäßig aktiviert waren, deaktiviert. Diese können bei Bedarf für ältere Clients wieder aktiviert werden. Die vollständige Liste der unterstützten Algorithmen finden Sie nachstehend unter Hinweise zu Verschlüsselungssammlungen.

Geben Sie im ArcGIS Server-Administratorverzeichnis an, welche TLS-Protokolle und Verschlüsselungsalgorithmen auf Ihrer Site verwendet werden sollen.

  1. Öffnen Sie das ArcGIS Server-Administratorverzeichnis, und melden Sie sich als Administrator Ihrer Site an.

    Die URL hat das Format https://gisserver.domain.com:6443/arcgis/admin.

  2. Klicken Sie auf Security > Config > Update.
  3. Geben Sie im Textfeld SSL Protocols die zu verwendenden Protokolle an. Wenn Sie mehrere Protokolle angeben, trennen Sie sie jeweils durch Kommas, Beispiel TLSv1.2, TLSv1.1.
    Hinweis:

    Stellen Sie sicher, dass der Webserver, der den Web Adaptor hostet, über die von Ihnen aktivierten Protokolle umfassend kommunizieren kann. Wenn Sie einen Java Web Adaptor verwenden, muss der Webserver, auf dem der Web Adaptor gehostet wird, Java 8 oder höher verwenden.

  4. Geben Sie im Textfeld Cipher-Suites die zu verwendenden Verschlüsselungsalgorithmen an. Wenn Sie mehrere Algorithmen angeben, trennen Sie sie jeweils durch Kommas. Beispiel: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
  5. Klicken Sie auf Aktualisieren.

    Bei Angabe eines ungültigen Protokolls oder einer ungültigen Cipher Suite wird eine Fehlermeldung zurückgegeben.

Cipher Suites-Referenzen

ArcGIS Server unterstützt die folgenden Algorithmen:

Cipher-IDNameSchlüsselaustauschAuthentifizierungsalgorithmusVerschlüsselungsalgorithmenBitsHashalgorithmus
0x00C030TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384ECDHRSAAES_256_GCM256SHA384
0x00C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384ECDHRSA AES_256_CBC256 SHA384
0x00C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDHRSA AES_256_CBC256SHA
0x00009F TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 DHRSA AES_256_GCM256 SHA384
0x00006B TLS_DHE_RSA_WITH_AES_256_CBC_SHA256DHRSA AES_256_CBC256 SHA256
0x000039 TLS_DHE_RSA_WITH_AES_256_CBC_SHADHRSA AES_256_CBC256SHA
0x00009D TLS_RSA_WITH_AES_256_GCM_SHA384RSARSA AES_256_GCM256 SHA384
0x00003D TLS_RSA_WITH_AES_256_CBC_SHA256RSARSA AES_256_CBC256SHA256
0x000035 TLS_RSA_WITH_AES_256_CBC_SHARSARSA AES_256_CBC256SHA
0x00C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHRSA AES_128_GCM128SHA256
0x00C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDHRSA AES_128_CBC128SHA256
0x00C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAECDHRSA AES_128_CBC128SHA
0x00009E TLS_DHE_RSA_WITH_AES_128_GCM_SHA256DHRSA AES_128_GCM128SHA256
0x000067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256DHRSA AES_128_CBC128SHA256
0x000033 TLS_DHE_RSA_WITH_AES_128_CBC_SHADHRSA AES_128_CBC128SHA
0x00009C TLS_RSA_WITH_AES_128_GCM_SHA256RSARSA AES_128_GCM128SHA256
0x00003C TLS_RSA_WITH_AES_128_CBC_SHA256RSARSA AES_128_CBC128SHA256
0x00002F TLS_RSA_WITH_AES_128_CBC_SHARSARSA AES_128_CBC128SHA
0x00C012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA ECDHRSA 3DES_EDE_CBC168SHA
0x000016 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHADHRSA 3DES_EDE_CBC168SHA
0x00000A SSL_RSA_WITH_3DES_EDE_CBC_SHARSARSA 3DES_EDE_CBC168SHA
0x00C02CTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384ECDHECDSAAES_256_GCM256SHA384
0x00C024TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384ECDHECDSAAES_256_CBC256SHA384
0x00C00ATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHAECDHECDSAAES_256_CBC256SHA
0x00C02BTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256ECDHECDSAAES_128_GCM128SHA256
0x00C023TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256ECDHECDSAAES_128_CBC128SHA256
0x00C009TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHAECDHECDSAAES_128_CBC128SHA
0x00C008TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHAECDHECDSA3DES_EDE_CBC168SHA
0x1302 TLS_AES_256_GCM_SHA384-- AES_256_GCM256SHA384
0x1301 TLS_AES_128_GCM_SHA256-- AES_128_GCM128SHA256

Terminologie

Die folgenden Begriffe werden in der Tabelle oben verwendet:

  • ECDH: Diffie-Hellman-Schlüsselaustausch
  • DH: Diffie-Hellman
  • RSA: Rivest, Shamir, Adleman
  • ECDSA: Elliptic Curve Digital Signature Algorithm
  • AES: Advanced Encryption Standard
  • GCM: Galois/Counter Mode (ein für kryptographische Blockchiffren verwendeter Betriebsmodus)
  • CBC: Cipher Block Chaining
  • 3DES: Dreifach-Daten-Verschlüsselungsalgorithmen
  • SHA: Secure Hashing Algorithm