Skip To Content

Restringir protocolos SSL y conjuntos de cifrado

Como administrador de ArcGIS Server, puede especificar qué protocolos de capa de sockets seguros (SSL) y algoritmos de cifrado utiliza ArcGIS Server para proteger la comunicación. Por ejemplo, puede que su organización necesite utilizar protocolos SSL específicos y algoritmos de cifrado específicos. Al especificar que ArcGIS Server utiliza protocolos y algoritmos certificados, se garantiza el cumplimiento del portal con las políticas de seguridad de la organización.

Protocolos SSL predeterminados

De forma predeterminada, ArcGIS Server habilita los protocolos siguientes:

  • TLSv1
  • TLSv1.1
  • TLSv1.2

Algoritmos de cifrado predeterminados

ArcGIS Server está configurado de forma predeterminada para utilizar los siguientes algoritmos de cifrado en el orden que se indica a continuación:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA

Por motivos de seguridad, varios de los algoritmos de cifrado que estaban habilitados de forma predeterminada en versiones anteriores ahora están deshabilitados. Si se necesitan para clientes más antiguos, se pueden habilitar. Consulte la Referencia a los conjuntos de cifrado de abajo para obtener más información sobre la lista completa de algoritmos compatibles.

Debe utilizar el Directorio del administrador de ArcGIS Server para especificar qué protocolos SSL y algoritmos de cifrado utilizará el portal.

  1. Abra el Directorio del administrador de ArcGIS Server e inicie sesión como administrador del sitio. La dirección URL tiene el formato https://gisserver.domain.com:6443/arcgis/admin.
  2. Haga clic en Seguridad > Config > Actualizar.
  3. En el cuadro de texto Protocolos SSL, especifique los protocolos que se deben utilizar. Si va a especificar varios protocolos, sepárelos con una coma. Por ejemplo: TLSv1.2, TLSv1.1.

    Tenga en cuenta que si tiene pensado deshabilitar TLSv1 del sitio, debe asegurarse de que el servidor web que aloja el Web Adaptor pueda comunicarse mediante TLSv1.1 o TLSv1.2. Si está utilizando un Java Web Adaptor, el servidor web que aloja el Web Adaptor deberá utilizar Java 8.

  4. En el cuadro de texto Conjuntos de cifrado, especifique los algoritmos de cifrado que se deben utilizar. Si va a especificar varios algoritmos, sepárelos con una coma. Por ejemplo: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
  5. Haga clic en Actualizar. Si se especifica un protocolo o conjunto de cifrado no válido, se mostrará un error.

Referencia a conjuntos de cifrado

Id. de cifradoNombreIntercambio de clavesAlgoritmo de autenticaciónAlgoritmo de cifradoBitsAlgoritmo de hash
0x00C030TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384ECDHRSAAES_256_GCM256SHA384
0x00C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384ECDHRSA AES_256_CBC256 SHA384
0x00C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDHRSA AES_256_CBC256SHA
0x00009F TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 DHRSA AES_256_GCM256 SHA384
0x00006B TLS_DHE_RSA_WITH_AES_256_CBC_SHA256DHRSA AES_256_CBC256 SHA256
0x000039 TLS_DHE_RSA_WITH_AES_256_CBC_SHADHRSA AES_256_CBC256SHA
0x00009D TLS_RSA_WITH_AES_256_GCM_SHA384RSARSA AES_256_GCM256 SHA384
0x00003D TLS_RSA_WITH_AES_256_CBC_SHA256RSARSA AES_256_CBC256SHA256
0x000035 TLS_RSA_WITH_AES_256_CBC_SHARSARSA AES_256_CBC256SHA
0x00C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHRSA AES_128_GCM128SHA256
0x00C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDHRSA AES_128_CBC128SHA256
0x00C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAECDHRSA AES_128_CBC128SHA
0x00009E TLS_DHE_RSA_WITH_AES_128_GCM_SHA256DHRSA AES_128_GCM128SHA256
0x000067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256DHRSA AES_128_CBC128SHA256
0x000033 TLS_DHE_RSA_WITH_AES_128_CBC_SHADHRSA AES_128_CBC128SHA
0x00009C TLS_RSA_WITH_AES_128_GCM_SHA256RSARSA AES_128_GCM128SHA256
0x00003C TLS_RSA_WITH_AES_128_CBC_SHA256RSARSA AES_128_CBC128SHA256
0x00002F TLS_RSA_WITH_AES_128_CBC_SHARSARSA AES_128_CBC128SHA
0x00C012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA ECDHRSA 3DES_EDE_CBC168SHA
0x000016 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHADHRSA 3DES_EDE_CBC168SHA
0x00000A SSL_RSA_WITH_3DES_EDE_CBC_SHARSARSA 3DES_EDE_CBC168SHA
0x00C02CTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384ECDHECDSAAES_256_GCM256SHA384
0x00C024TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384ECDHECDSAAES_256_CBC256SHA384
0x00C00ATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHAECDHECDSAAES_256_CBC256SHA
0x00C02BTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256ECDHECDSAAES_128_GCM128SHA256
0x00C023TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256ECDHECDSAAES_128_CBC128SHA256
0x00C009TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHAECDHECDSAAES_128_CBC128SHA
0x00C008TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHAECDHECDSA3DES_EDE_CBC168SHA

Terminología

  • ECDH: Diffie-Hellman de curva elíptica
  • DH: Diffie-Hellman
  • RSA: Rivest, Shamir, Adleman
  • ECDSA: Elliptic Curve Digital Signature Algorithm
  • AES: estándar de cifrado avanzado
  • GCM: Galois/Counter Mode, un modo de operación para cifrados de bloques criptográficos
  • CBC: encadenamiento de bloques de cifrado
  • 3DES: algoritmo de cifrado 3D
  • SHA: algoritmo de hash seguro