Als ArcGIS Server-Administrator können Sie festlegen, welche TLS-Protokolle und Verschlüsselungsalgorithmen ArcGIS Server für die sichere Kommunikation verwendet. Möglicherweise muss Ihre Organisation bestimmte TLS-Protokolle und Verschlüsselungsalgorithmen verwenden, oder der Webserver, auf dem Sie ArcGIS Server bereitstellen, lässt nur bestimmte Protokolle und Algorithmen zu. Durch die Vorgabe, dass ArcGIS Server die zertifizierten Protokolle und Algorithmen verwendet, wird sichergestellt, dass die Site die Sicherheitsrichtlinien Ihrer Organisation weiterhin erfüllt.
Aufgrund der 2014 veröffentlichten POODLE-Schwachstelle besteht in ArcGIS Server in 10.3 und höher keine Unterstützung mehr für SSL-Protokolle (Secure Sockets Layer). Sie werden aber dennoch SSL in der Software feststellen, damit auf TLS-Protokolle verwiesen werden kann.
TLS-Protokolle
Standardmäßig werden in ArcGIS Server nur die Protokolle TLSv1.3 und TLSv1.2 verwendet. Anhand der folgenden Schritte können Sie auch die Protokolle TLSv1 und TLSv1.1 aktivieren.
Standardverschlüsselungsalgorithmen
ArcGIS Server ist standardmäßig für die Verwendung der folgenden Verschlüsselungsalgorithmen in der nachstehend angegebenen Reihenfolge konfiguriert:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_AES_256_GCM_SHA384 (nur TLSv1.3)
- TLS_AES_128_GCM_SHA256 (nur TLSv1.3)
Aus Sicherheitsgründen wurden mehrere Verschlüsselungsalgorithmen, die in vorherigen Versionen standardmäßig aktiviert waren, deaktiviert. Diese können bei Bedarf für ältere Clients wieder aktiviert werden. Die vollständige Liste der unterstützten Algorithmen finden Sie nachstehend unter Hinweise zu Verschlüsselungssammlungen.
Geben Sie im ArcGIS Server-Administratorverzeichnis an, welche TLS-Protokolle und Verschlüsselungsalgorithmen auf Ihrer Site verwendet werden sollen.
- Öffnen Sie das ArcGIS Server-Administratorverzeichnis, und melden Sie sich als Administrator Ihrer Site an.
Die URL hat das Format https://gisserver.example.com:6443/arcgis/admin.
- Klicken Sie auf Security > Config > Update.
- Geben Sie im Textfeld SSL Protocols die zu verwendenden Protokolle an. Wenn Sie mehrere Protokolle angeben, trennen Sie sie jeweils durch Kommas, Beispiel TLSv1.2, TLSv1.1.
Hinweis:
Stellen Sie sicher, dass der Webserver, der den Web Adaptor hostet, über die von Ihnen aktivierten Protokolle umfassend kommunizieren kann.
- Geben Sie im Textfeld Verschlüsselungssammlung die zu verwendenden Verschlüsselungssammlung im IANA-Format an. Trennen Sie die Algorithmen jeweils durch Kommas. Beispiel: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
- Klicken Sie auf Aktualisieren.
Bei Angabe eines ungültigen Protokolls oder einer ungültigen Verschlüsselungssammlung wird eine Fehlermeldung zurückgegeben.
Referenzen zu Verschlüsselungssammlungen
ArcGIS Server unterstützt die folgenden Algorithmen:
| Cipher-ID | Name (IANA-Format) | Name (OpenSSL-Format) | Schlüsselaustausch | Authentifizierungsalgorithmus | Verschlüsselungsalgorithmen | Bits | Hashalgorithmus |
|---|---|---|---|---|---|---|---|
| 0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDHE-RSA-AES256-GCM-SHA384 | ECDH | RSA | AES_256_GCM | 256 | SHA384 |
| 0xC028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDHE-RSA-AES256-SHA384 | ECDH | RSA | AES_256_CBC | 256 | SHA384 |
| 0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDHE-RSA-AES256-SHA | ECDH | RSA | AES_256_CBC | 256 | SHA |
| 0x009F | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | DHE-RSA-AES256-GCM-SHA384 | DH | RSA | AES_256_GCM | 256 | SHA384 |
| 0x006B | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | DHE-RSA-AES256-SHA256 | DH | RSA | AES_256_CBC | 256 | SHA256 |
| 0x0039 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | DHE-RSA-AES256-SHA | DH | RSA | AES_256_CBC | 256 | SHA |
| 0x009D | TLS_RSA_WITH_AES_256_GCM_SHA384 | AES256-GCM-SHA384 | RSA | RSA | AES_256_GCM | 256 | SHA384 |
| 0x003D | TLS_RSA_WITH_AES_256_CBC_SHA256 | AES256-SHA256 | RSA | RSA | AES_256_CBC | 256 | SHA256 |
| 0x0035 | TLS_RSA_WITH_AES_256_CBC_SHA | AES256-SHA | RSA | RSA | AES_256_CBC | 256 | SHA |
| 0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDHE-RSA-AES128-GCM-SHA256 | ECDH | RSA | AES_128_GCM | 128 | SHA256 |
| 0xC027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDHE-RSA-AES128-SHA256 | ECDH | RSA | AES_128_CBC | 128 | SHA256 |
| 0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDHE-RSA-AES128-SHA | ECDH | RSA | AES_128_CBC | 128 | SHA |
| 0x009E | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | DHE-RSA-AES128-GCM-SHA256 | DH | RSA | AES_128_GCM | 128 | SHA256 |
| 0x0067 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | DHE-RSA-AES128-SHA256 | DH | RSA | AES_128_CBC | 128 | SHA256 |
| 0x0033 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | DHE-RSA-AES128-SHA | DH | RSA | AES_128_CBC | 128 | SHA |
| 0x009C | TLS_RSA_WITH_AES_128_GCM_SHA256 | AES128-GCM-SHA256 | RSA | RSA | AES_128_GCM | 128 | SHA256 |
| 0x003C | TLS_RSA_WITH_AES_128_CBC_SHA256 | AES128-SHA256 | RSA | RSA | AES_128_CBC | 128 | SHA256 |
| 0x002F | TLS_RSA_WITH_AES_128_CBC_SHA | AES128-SHA | RSA | RSA | AES_128_CBC | 128 | SHA |
| 0xC012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDHE-RSA-DES-CBC3-SHA | ECDH | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x0016 | SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA | EDH-RSA-DES-CBC3-SHA | DH | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x000A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | DES-CBC3-SHA | RSA | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ECDHE-ECDSA-AES256-GCM-SHA384 | ECDH | ECDSA | AES_256_GCM | 256 | SHA384 |
| 0xC024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ECDHE-ECDSA-AES256-SHA384 | ECDH | ECDSA | AES_256_CBC | 256 | SHA384 |
| 0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ECDHE-ECDSA-AES256-SHA | ECDH | ECDSA | AES_256_CBC | 256 | SHA |
| 0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ECDHE-ECDSA-AES128-GCM-SHA256 | ECDH | ECDSA | AES_128_GCM | 128 | SHA256 |
| 0xC023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ECDHE-ECDSA-AES128-SHA256 | ECDH | ECDSA | AES_128_CBC | 128 | SHA256 |
| 0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ECDHE-ECDSA-AES128-SHA | ECDH | ECDSA | AES_128_CBC | 128 | SHA |
| 0xC008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | ECDHE-ECDSA-DES-CBC3-SHA | ECDH | ECDSA | 3DES_EDE_CBC | 168 | SHA |
| 0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | ECDHE-RSA-CHACHA20-POLY1305 | ECDH | RSA | CHACHA20 POLY1305 | 256 | SHA256 |
| 0xCCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 | ECDHE-ECDSA-CHACHA20-POLY1305 | ECDH | ECDSA | CHACHA20 POLY1305 | 256 | SHA256 |
| 0x1301 | TLS_AES_128_GCM_SHA256 (TLSv1.3 only) | TLS_AES_128_GCM_SHA256 | - | - | AES_128_GCM | 128 | SHA256 |
| 0x1302 | TLS_AES_256_GCM_SHA384 (TLSv1.3 only) | TLS_AES_256_GCM_SHA384 | - | - | AES_256_GCM | 256 | SHA384 |
| 0x1303 | TLS_CHACHA20_POLY1305_SHA256 (TLSv1.3 only) | TLS_CHACHA20_POLY1305_SHA256 | - | - | CHACHA20 POLY1305 | 256 | SHA256 |
Terminologie
Die folgenden Begriffe werden in der Tabelle oben verwendet:
- ECDH: Elliptic-Curve Diffie-Hellman
- DH: Diffie-Hellman
- RSA: Rivest, Shamir, Adleman
- ECDSA: Elliptic Curve Digital Signature Algorithm
- AES: Advanced Encryption Standard
- GCM: Galois/Counter Mode (ein für kryptographische Blockchiffren verwendeter Betriebsmodus)
- CBC: Cipher Block Chaining
- 3DES: Triple Data Encryption Algorithm
- SHA: Secure Hashing Algorithm
- CHACHA20: ChaCha Stream Cipher
- POLY1305: Poly1305 Authenticator