Como administrador de ArcGIS Server, puede especificar los protocolos de seguridad de la capa de transporte (TLS) y algoritmos de cifrado utiliza ArcGIS Server para proteger la comunicación. Puede que su organización necesite utilizar protocolos TLS y algoritmos de cifrado específicos o que el servidor web en el que se implementa ArcGIS Server solo pueda permitir ciertos protocolos y algoritmos. Al especificar que ArcGIS Server utilice protocolos y algoritmos certificados, se garantiza el cumplimiento del portal con las políticas de seguridad de la organización.
Después de la vulnerabilidad POODLE descubierta en 2014, ArcGIS Server dejó de ofrecer compatibilidad para los protocolos Secure Sockets Layer (SSL) de la versión 10.3 y posteriores, pero seguirá viendo que se utiliza SSL en el software para hacer referencia a los protocolos TLS.
Protocolos TLS
De manera predeterminada, ArcGIS Server solo utiliza los protocolos TLSv1.3 y TLSv1.2. También puede habilitar los protocolos TLSv1 y TLSv1.1 siguiendo los pasos que se indican a continuación.
Algoritmos de cifrado predeterminados
ArcGIS Server está configurado de forma predeterminada para utilizar los siguientes algoritmos de cifrado en el orden que se indica a continuación:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_AES_256_GCM_SHA384 (TLSv1.3 únicamente)
- TLS_AES_128_GCM_SHA256 (TLSv1.3 únicamente)
Por motivos de seguridad, varios de los algoritmos de cifrado que estaban habilitados de forma predeterminada en versiones anteriores se han deshabilitado. Si se necesitan para clientes más antiguos, se pueden volver a habilitar. Consulte la Referencia a los conjuntos de cifrado para la lista completa de algoritmos compatibles.
Utilice el Directorio del administrador de ArcGIS Server para especificar los protocolos TLS y los algoritmos de cifrado que utilizará su sitio.
- Abra el Directorio de administrador de ArcGIS Server e inicie sesión como administrador del sitio.
La URL tiene el formato https://gisserver.domain.com:6443/arcgis/admin.
- Haga clic en Seguridad > Config > Actualizar.
- En el cuadro de texto Protocolos SSL, especifique los protocolos que se deben utilizar. Si va a especificar varios protocolos, sepárelos con una coma, por ejemplo, TLSv1.2, TLSv1.1.
Nota:
Asegúrese de que el servidor web que aloja Web Adaptor pueda comunicarse por completo con los protocolos que está habilitando. Si está utilizando un Java Web Adaptor, el servidor web que aloja el Web Adaptor deberá utilizar Java 8 o posterior.
- En el cuadro de texto Conjuntos de cifrado, especifique los algoritmos de cifrado que se deben utilizar. Si va a especificar varios algoritmos, sepárelos con una coma, por ejemplo, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
- Haga clic en Actualizar.
Si se especifica un protocolo o conjunto de cifrado no válido, se mostrará un error.
Referencia a conjuntos de cifrado
ArcGIS Server admite los algoritmos siguientes:
| Id. de cifrado | Nombre | Intercambio de claves | Algoritmo de autenticación | Algoritmo de cifrado | Bits | Algoritmo de hash |
|---|---|---|---|---|---|---|
| 0x00C030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDH | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00C028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDH | RSA | AES_256_CBC | 256 | SHA384 |
| 0x00C014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDH | RSA | AES_256_CBC | 256 | SHA |
| 0x00009F | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | DH | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00006B | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | DH | RSA | AES_256_CBC | 256 | SHA256 |
| 0x000039 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | DH | RSA | AES_256_CBC | 256 | SHA |
| 0x00009D | TLS_RSA_WITH_AES_256_GCM_SHA384 | RSA | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00003D | TLS_RSA_WITH_AES_256_CBC_SHA256 | RSA | RSA | AES_256_CBC | 256 | SHA256 |
| 0x000035 | TLS_RSA_WITH_AES_256_CBC_SHA | RSA | RSA | AES_256_CBC | 256 | SHA |
| 0x00C02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDH | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDH | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDH | RSA | AES_128_CBC | 128 | SHA |
| 0x00009E | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | DH | RSA | AES_128_GCM | 128 | SHA256 |
| 0x000067 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | DH | RSA | AES_128_CBC | 128 | SHA256 |
| 0x000033 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | DH | RSA | AES_128_CBC | 128 | SHA |
| 0x00009C | TLS_RSA_WITH_AES_128_GCM_SHA256 | RSA | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00003C | TLS_RSA_WITH_AES_128_CBC_SHA256 | RSA | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00002F | TLS_RSA_WITH_AES_128_CBC_SHA | RSA | RSA | AES_128_CBC | 128 | SHA |
| 0x00C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDH | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x000016 | SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA | DH | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x00000A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | RSA | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x00C02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ECDH | ECDSA | AES_256_GCM | 256 | SHA384 |
| 0x00C024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ECDH | ECDSA | AES_256_CBC | 256 | SHA384 |
| 0x00C00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ECDH | ECDSA | AES_256_CBC | 256 | SHA |
| 0x00C02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ECDH | ECDSA | AES_128_GCM | 128 | SHA256 |
| 0x00C023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ECDH | ECDSA | AES_128_CBC | 128 | SHA256 |
| 0x00C009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ECDH | ECDSA | AES_128_CBC | 128 | SHA |
| 0x00C008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | ECDH | ECDSA | 3DES_EDE_CBC | 168 | SHA |
| 0x1302 | TLS_AES_256_GCM_SHA384 | - | - | AES_256_GCM | 256 | SHA384 |
| 0x1301 | TLS_AES_128_GCM_SHA256 | - | - | AES_128_GCM | 128 | SHA256 |
Terminología
En la tabla anterior se utilizan estos términos:
- ECDH: Elliptic-Curve Diffie-Hellman (Diffie-Hellman de curva helíptica)
- DH: Diffie-Hellman
- RSA: Rivest, Shamir, Adleman
- ECDSA: Elliptic Curve Digital Signature Algorithm (algoritmo de firma digital de curva elíptica)
- AES: estándar de cifrado avanzado
- GCM: Galois/Counter Mode, modo de operación para cifrados de bloques criptográficos
- CBC: Cipher Block Chaining (encadenamiento de bloques de cifrado)
- 3DES: Triple Data Encryption Algorithm (algoritmo de cifrado 3D)
- SHA: Secure Hashing Algorithm (algoritmo de hash seguro)