Como administrador de ArcGIS Server, puede especificar qué protocolos de seguridad de la capa de transporte (TLS) y algoritmos de cifrado utiliza ArcGIS Server para proteger la comunicación. Puede que su organización necesite utilizar protocolos TLS y algoritmos de cifrado específicos o que el servidor web en el que se implementa ArcGIS Server solo pueda permitir ciertos protocolos y algoritmos. Al especificar que ArcGIS Server utiliza protocolos y algoritmos certificados, se garantiza el cumplimiento del portal con las políticas de seguridad de la organización.
Después de la vulnerabilidad POODLE descubierta en 2014, ArcGIS Server dejó de ofrecer compatibilidad para los protocolos Secure Sockets Layer (SSL) de la versión 10.3 y posteriores, pero seguirá viendo que se utiliza SSL en el software para hacer referencia a los protocolos TLS.
Protocolos TLS
De forma predeterminada, ArcGIS Server solo utiliza la versión 1.2 del protocolo TLS. Los protocolos TLS 1.0 y 1.1 también pueden habilitarse con los pasos que se indican a continuación.
Algoritmos de cifrado predeterminados
ArcGIS Server está configurado de forma predeterminada para utilizar los siguientes algoritmos de cifrado en el orden que se indica a continuación:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
Por motivos de seguridad, varios de los algoritmos de cifrado que estaban habilitados de forma predeterminada en versiones anteriores ahora están deshabilitados. Si se necesitan para clientes más antiguos, se pueden habilitar. Consulte la Referencia a los conjuntos de cifrado de abajo para obtener más información sobre la lista completa de algoritmos compatibles.
Debe utilizar el Directorio del administrador de ArcGIS Server para especificar qué protocolos SSL y algoritmos de cifrado utilizará el portal.
- Abra el Directorio de administrador de ArcGIS Server e inicie sesión como administrador del sitio. La dirección URL tiene el formato https://gisserver.domain.com:6443/arcgis/admin.
- Haga clic en Seguridad > Config > Actualizar.
- En el cuadro de texto Protocolos SSL, especifique los protocolos que se deben utilizar. Si va a especificar varios protocolos, sepárelos con una coma. Por ejemplo: TLSv1.2, TLSv1.1.
Nota:
Asegúrese de que el servidor web que aloja Web Adaptor pueda comunicarse por completo con los protocolos que está habilitando. Si está utilizando un Java Web Adaptor, el servidor web que aloja el Web Adaptor deberá utilizar Java 8 o posterior.
- En el cuadro de texto Conjuntos de cifrado, especifique los algoritmos de cifrado que se deben utilizar. Si va a especificar varios algoritmos, sepárelos con una coma. Por ejemplo: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
- Haga clic en Actualizar. Si se especifica un protocolo o conjunto de cifrado no válido, se mostrará un error.
Referencia a conjuntos de cifrado
| Id. de cifrado | Nombre | Intercambio de claves | Algoritmo de autenticación | Algoritmo de cifrado | Bits | Algoritmo de hash |
|---|---|---|---|---|---|---|
| 0x00C030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDH | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00C028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDH | RSA | AES_256_CBC | 256 | SHA384 |
| 0x00C014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDH | RSA | AES_256_CBC | 256 | SHA |
| 0x00009F | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | DH | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00006B | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | DH | RSA | AES_256_CBC | 256 | SHA256 |
| 0x000039 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | DH | RSA | AES_256_CBC | 256 | SHA |
| 0x00009D | TLS_RSA_WITH_AES_256_GCM_SHA384 | RSA | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00003D | TLS_RSA_WITH_AES_256_CBC_SHA256 | RSA | RSA | AES_256_CBC | 256 | SHA256 |
| 0x000035 | TLS_RSA_WITH_AES_256_CBC_SHA | RSA | RSA | AES_256_CBC | 256 | SHA |
| 0x00C02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDH | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDH | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDH | RSA | AES_128_CBC | 128 | SHA |
| 0x00009E | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | DH | RSA | AES_128_GCM | 128 | SHA256 |
| 0x000067 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | DH | RSA | AES_128_CBC | 128 | SHA256 |
| 0x000033 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | DH | RSA | AES_128_CBC | 128 | SHA |
| 0x00009C | TLS_RSA_WITH_AES_128_GCM_SHA256 | RSA | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00003C | TLS_RSA_WITH_AES_128_CBC_SHA256 | RSA | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00002F | TLS_RSA_WITH_AES_128_CBC_SHA | RSA | RSA | AES_128_CBC | 128 | SHA |
| 0x00C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDH | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x000016 | SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA | DH | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x00000A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | RSA | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x00C02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ECDH | ECDSA | AES_256_GCM | 256 | SHA384 |
| 0x00C024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ECDH | ECDSA | AES_256_CBC | 256 | SHA384 |
| 0x00C00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ECDH | ECDSA | AES_256_CBC | 256 | SHA |
| 0x00C02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ECDH | ECDSA | AES_128_GCM | 128 | SHA256 |
| 0x00C023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ECDH | ECDSA | AES_128_CBC | 128 | SHA256 |
| 0x00C009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ECDH | ECDSA | AES_128_CBC | 128 | SHA |
| 0x00C008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | ECDH | ECDSA | 3DES_EDE_CBC | 168 | SHA |
Terminología
- ECDH: Diffie-Hellman de curva elíptica
- DH: Diffie-Hellman
- RSA: Rivest, Shamir, Adleman
- ECDSA: Elliptic Curve Digital Signature Algorithm
- AES: estándar de cifrado avanzado
- GCM: Galois/Counter Mode, un modo de operación para cifrados de bloques criptográficos
- CBC: encadenamiento de bloques de cifrado
- 3DES: algoritmo de cifrado 3D
- SHA: algoritmo de hash seguro