Skip To Content

Restringir protocolos TLS y conjuntos de cifrado

ArcGIS 11.4 (Windows)  | |  Archivo de ayuda

Como administrador de ArcGIS Server, puede especificar los protocolos de seguridad de la capa de transporte (TLS) y algoritmos de cifrado utiliza ArcGIS Server para proteger la comunicación. Puede que su organización necesite utilizar protocolos TLS y algoritmos de cifrado específicos o que el servidor web en el que se implementa ArcGIS Server solo pueda permitir ciertos protocolos y algoritmos. Al especificar que ArcGIS Server utilice protocolos y algoritmos certificados, se garantiza el cumplimiento del portal con las políticas de seguridad de la organización.

Después de la vulnerabilidad POODLE descubierta en 2014, ArcGIS Server dejó de ofrecer compatibilidad para los protocolos Secure Sockets Layer (SSL) de la versión 10.3 y posteriores, pero seguirá viendo que se utiliza SSL en el software para hacer referencia a los protocolos TLS.

Protocolos TLS

De manera predeterminada, ArcGIS Server solo utiliza los protocolos TLSv1.3 y TLSv1.2. También puede habilitar los protocolos TLSv1 y TLSv1.1 siguiendo los pasos que se indican a continuación.

Algoritmos de cifrado predeterminados

ArcGIS Server está configurado de forma predeterminada para utilizar los siguientes algoritmos de cifrado en el orden que se indica a continuación:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_AES_256_GCM_SHA384 (TLSv1.3 únicamente)
  • TLS_AES_128_GCM_SHA256 (TLSv1.3 únicamente)

Por motivos de seguridad, varios de los algoritmos de cifrado que estaban habilitados de forma predeterminada en versiones anteriores se han deshabilitado. Si se necesitan para clientes más antiguos, se pueden volver a habilitar. Consulte la Referencia a los conjuntos de cifrado para la lista completa de algoritmos compatibles.

Utilice el Directorio del administrador de ArcGIS Server para especificar los protocolos TLS y los algoritmos de cifrado que utilizará su sitio.

  1. Abra el Directorio de administrador de ArcGIS Server e inicie sesión como administrador del sitio.

    La URL tiene el formato https://gisserver.example.com:6443/arcgis/admin.

  2. Haga clic en Seguridad > Config > Actualizar.
  3. En el cuadro de texto Protocolos SSL, especifique los protocolos que se deben utilizar. Si va a especificar varios protocolos, sepárelos con una coma, por ejemplo, TLSv1.2, TLSv1.1.
    Nota:

    Asegúrese de que el servidor web que aloja Web Adaptor pueda comunicarse por completo con los protocolos que está habilitando.

  4. En el cuadro de texto Conjuntos de cifrado, especifique los conjuntos de cifrado que se deben utilizar en el formato IANA. Separa cada algoritmo con una coma, por ejemplo, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
  5. Haga clic en Actualizar.

    Si se especifica un protocolo o conjunto de cifrado no válido, se mostrará un error.

Referencia a conjuntos de cifrado

ArcGIS Server admite los algoritmos siguientes:

Id. de cifradoNombre (formato IANA)Nombre (formato OpenSSL)Intercambio de clavesAlgoritmo de autenticaciónAlgoritmo de cifradoBitsAlgoritmo de hash
0xC030TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384ECDHRSAAES_256_GCM256SHA384
0xC028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDHE-RSA-AES256-SHA384ECDHRSA AES_256_CBC256 SHA384
0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDHE-RSA-AES256-SHA ECDHRSA AES_256_CBC256SHA
0x009F TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 DHE-RSA-AES256-GCM-SHA384 DHRSA AES_256_GCM256 SHA384
0x006B TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 DHE-RSA-AES256-SHA256DHRSA AES_256_CBC256 SHA256
0x0039 TLS_DHE_RSA_WITH_AES_256_CBC_SHA DHE-RSA-AES256-SHADHRSA AES_256_CBC256SHA
0x009D TLS_RSA_WITH_AES_256_GCM_SHA384 AES256-GCM-SHA384RSARSA AES_256_GCM256 SHA384
0x003D TLS_RSA_WITH_AES_256_CBC_SHA256 AES256-SHA256RSARSA AES_256_CBC256SHA256
0x0035 TLS_RSA_WITH_AES_256_CBC_SHA AES256-SHARSARSA AES_256_CBC256SHA
0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHRSA AES_128_GCM128SHA256
0xC027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES128-SHA256 ECDHRSA AES_128_CBC128SHA256
0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDHE-RSA-AES128-SHAECDHRSA AES_128_CBC128SHA
0x009E TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 DHE-RSA-AES128-GCM-SHA256DHRSA AES_128_GCM128SHA256
0x0067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 DHE-RSA-AES128-SHA256DHRSA AES_128_CBC128SHA256
0x0033 TLS_DHE_RSA_WITH_AES_128_CBC_SHA DHE-RSA-AES128-SHADHRSA AES_128_CBC128SHA
0x009C TLS_RSA_WITH_AES_128_GCM_SHA256 AES128-GCM-SHA256RSARSA AES_128_GCM128SHA256
0x003C TLS_RSA_WITH_AES_128_CBC_SHA256 AES128-SHA256RSARSA AES_128_CBC128SHA256
0x002F TLS_RSA_WITH_AES_128_CBC_SHA AES128-SHARSARSA AES_128_CBC128SHA
0xC012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA ECDHE-RSA-DES-CBC3-SHA ECDHRSA 3DES_EDE_CBC168SHA
0x0016 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA EDH-RSA-DES-CBC3-SHADHRSA 3DES_EDE_CBC168SHA
0x000A SSL_RSA_WITH_3DES_EDE_CBC_SHA DES-CBC3-SHARSARSA 3DES_EDE_CBC168SHA
0xC02CTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 ECDHE-ECDSA-AES256-GCM-SHA384ECDHECDSAAES_256_GCM256SHA384
0xC024TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 ECDHE-ECDSA-AES256-SHA384ECDHECDSAAES_256_CBC256SHA384
0xC00ATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDHE-ECDSA-AES256-SHAECDHECDSAAES_256_CBC256SHA
0xC02BTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 ECDHE-ECDSA-AES128-GCM-SHA256ECDHECDSAAES_128_GCM128SHA256
0xC023TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 ECDHE-ECDSA-AES128-SHA256ECDHECDSAAES_128_CBC128SHA256
0xC009TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA ECDHE-ECDSA-AES128-SHAECDHECDSAAES_128_CBC128SHA
0xC008TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA ECDHE-ECDSA-DES-CBC3-SHAECDHECDSA3DES_EDE_CBC168SHA
0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 ECDHE-RSA-CHACHA20-POLY1305 ECDH RSA CHACHA20 POLY1305 256 SHA256
0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 ECDHE-ECDSA-CHACHA20-POLY1305 ECDH ECDSA CHACHA20 POLY1305 256 SHA256
0x1301 TLS_AES_128_GCM_SHA256 (TLSv1.3 only) TLS_AES_128_GCM_SHA256-- AES_128_GCM128SHA256
0x1302 TLS_AES_256_GCM_SHA384 (TLSv1.3 only) TLS_AES_256_GCM_SHA384-- AES_256_GCM256SHA384
0x1303 TLS_CHACHA20_POLY1305_SHA256 (TLSv1.3 only) TLS_CHACHA20_POLY1305_SHA256-- CHACHA20 POLY1305 256 SHA256

Terminología

En la tabla anterior se utilizan estos términos:

  • ECDH: Elliptic-Curve Diffie-Hellman (Diffie-Hellman de curva helíptica)
  • DH: Diffie-Hellman
  • RSA: Rivest, Shamir, Adleman
  • ECDSA: Elliptic Curve Digital Signature Algorithm (algoritmo de firma digital de curva elíptica)
  • AES: estándar de cifrado avanzado
  • GCM: Galois/Counter Mode, modo de operación para cifrados de bloques criptográficos
  • CBC: Cipher Block Chaining (encadenamiento de bloques de cifrado)
  • 3DES: Triple Data Encryption Algorithm (algoritmo de cifrado 3D)
  • SHA: Secure Hashing Algorithm (algoritmo de hash seguro)
  • CHACHA20: cifrado de flujo ChaCha
  • POLY1305: autenticador Poly1305