ポータル管理者は、ポータルの内部 Web サーバーが通信をセキュリティ保護するために使用するセキュア ソケット レイヤー (SSL) プロトコルと暗号化アルゴリズムを指定できます。たとえば、特定の SSL プロトコルと暗号化アルゴリズムを使用するよう定めている組織もあります。認定されたプロトコルとアルゴリズムをポータルで指定すると、ポータルは組織のセキュリティ ポリシーに準拠することができます。
デフォルトの SSL プロトコル
デフォルトでは、ポータルでは次のプロトコルが有効になっています。
- TLSv1
- TLSv1.1
- TLSv1.2
デフォルトの暗号化アルゴリズム
ポータルはデフォルトで、下記の順序で次の暗号化アルゴリズムを使用するよう構成されます。
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
セキュリティ上の理由から、前のバージョンでデフォルトで有効にされていたいくつかの暗号化アルゴリズムは無効化されています。前のバージョンのクライアントで必要な場合には、これらを有効にすることもできます。サポートされているアルゴリズムの完全リストの詳細については、以下の「暗号スイートのリファレンス」をご参照ください。
ArcGIS Portal Directory を使用し、ポータルで使用する SSL プロトコルと暗号化アルゴリズムを指定します。
- ArcGIS Portal Directory を開いて、組織の管理者としてサイン インします。URL の形式は https://webadaptorhost.domain.com/webadaptorname/portaladmin です。
- [Security] > [SSLCertificates] > [Update] の順にクリックします。
- [SSL Protocols] テキスト ボックスに、使用するプロトコルを指定します。複数のプロトコルを指定する場合は、各プロトコルをカンマで区切ります。例: TLSv1.2, TLSv1.1。
ポータルで TLSv1 を無効にする場合は、ArcGIS Web Adaptor をホストする Web サーバーが TLSv1.1 または TLSv1.2 で完全に通信できることを確認する必要があります。Java 版の Web Adaptor を使用する場合、Web Adaptor をホストする Web サーバーは Java 8 を使用する必要があります。
- [SSL Cipher Suites] テキスト ボックスに、使用する暗号化アルゴリズムを指定します。複数のアルゴリズムを指定する場合は、各アルゴリズムをカンマで区切ります。例: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA。
- [Update] をクリックします。無効なプロトコルや暗号スイートが指定されると、エラーが表示されます。
暗号スイートのリファレンス
| 暗号 ID | 名前 | キー交換 | 認証アルゴリズム | 暗号化アルゴリズム | ビット | ハッシュ アルゴリズム |
|---|---|---|---|---|---|---|
| 0x00C030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDH | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00C028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDH | RSA | AES_256_CBC | 256 | SHA384 |
| 0x00C014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDH | RSA | AES_256_CBC | 256 | SHA |
| 0x00009F | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | DH | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00006B | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | DH | RSA | AES_256_CBC | 256 | SHA256 |
| 0x000039 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | DH | RSA | AES_256_CBC | 256 | SHA |
| 0x00009D | TLS_RSA_WITH_AES_256_GCM_SHA384 | RSA | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00003D | TLS_RSA_WITH_AES_256_CBC_SHA256 | RSA | RSA | AES_256_CBC | 256 | SHA256 |
| 0x000035 | TLS_RSA_WITH_AES_256_CBC_SHA | RSA | RSA | AES_256_CBC | 256 | SHA |
| 0x00C02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDH | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDH | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDH | RSA | AES_128_CBC | 128 | SHA |
| 0x00009E | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | DH | RSA | AES_128_GCM | 128 | SHA256 |
| 0x000067 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | DH | RSA | AES_128_CBC | 128 | SHA256 |
| 0x000033 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | DH | RSA | AES_128_CBC | 128 | SHA |
| 0x00009C | TLS_RSA_WITH_AES_128_GCM_SHA256 | RSA | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00003C | TLS_RSA_WITH_AES_128_CBC_SHA256 | RSA | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00002F | TLS_RSA_WITH_AES_128_CBC_SHA | RSA | RSA | AES_128_CBC | 128 | SHA |
| 0x00C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDH | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x000016 | SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA | DH | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x00000A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | RSA | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x00C02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ECDH | ECDSA | AES_256_GCM | 256 | SHA384 |
| 0x00C024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ECDH | ECDSA | AES_256_CBC | 256 | SHA384 |
| 0x00C00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ECDH | ECDSA | AES_256_CBC | 256 | SHA |
| 0x00C02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ECDH | ECDSA | AES_128_GCM | 128 | SHA256 |
| 0x00C023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ECDH | ECDSA | AES_128_CBC | 128 | SHA256 |
| 0x00C009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ECDH | ECDSA | AES_128_CBC | 128 | SHA |
| 0x00C008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | ECDH | ECDSA | 3DES_EDE_CBC | 168 | SHA |
用語
- ECDH- Elliptic-Curve Diffie-Hellman
- DH- Diffie-Hellman
- RSA- Rivest, Shamir, Adleman
- ECDSA- Elliptic Curve Digital Signature Algorithm
- AES- Advanced Encryption Standard
- GCM- Galois/Counter Mode (暗号化ブロックの利用モード)
- CBC- Cipher Block Chaining
- 3DES- Triple Data Encryption Algorithm
- SHA- Secure Hashing Algorithm