Skip To Content

TLS プロトコルと暗号スイートの制限

ポータル管理者は、ポータルの内部 Web サーバーが通信をセキュリティ保護するために使用するトランスポート層セキュリティ (TLS) プロトコルと暗号化アルゴリズムを指定できます。 組織で特定の TLS プロトコルと暗号化アルゴリズムを使用する必要がある場合があります。 認定されたプロトコルとアルゴリズムをポータルで指定すると、ポータルは組織のセキュリティ ポリシーに準拠することができます。

デフォルトの TLS プロトコル

デフォルトでは、ポータルは TLSv1.3 および TLSv1.2 プロトコルを使用するように構成されています。 また、下記の手順を使用して TLSv1 および TLSv1.1 プロトコルを有効にすることもできます。

デフォルトの暗号化アルゴリズム

ポータルはデフォルトで、下記の順序で次の暗号化アルゴリズムを使用するよう構成されます。

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_AES_256_GCM_SHA384 (TLSv1.3 のみ)
  • TLS_AES_128_GCM_SHA256 (TLSv1.3 のみ)

セキュリティ上の理由から、以前のバージョンでデフォルトで有効になっていたいくつかの暗号化アルゴリズムが無効化されています。 このようなアルゴリズムは、必要に応じて、旧バージョンのクライアントに対して再有効化できます。 サポートされている暗号化アルゴリズムの全リストについては、後述の「暗号スイート リファレンス」をご参照ください。

ArcGIS Portal Directory を使用し、ポータルで使用する TLS プロトコルと暗号化アルゴリズムを指定します。

  1. ArcGIS Portal Directory を開いて、組織の管理者としてサイン インします。

    URL の形式は https://webadaptorhost.domain.com/webadaptorname/portaladmin です。

  2. [Security] > [SSLCertificates] > [Update] の順にクリックします。
  3. [SSL Protocols] テキスト ボックスに、使用するプロトコルを指定します。 複数のプロトコルを指定する場合は、TLSv1.2, TLSv1.1 のように、各プロトコルをカンマで区切ります。
    注意:

    ArcGIS Web Adaptor をホストしている Web サーバーが、有効化するプロトコルを使用するように構成されていることを確認します。 Java Web Adaptor を使用している場合、ArcGIS Web Adaptor をホストしている Web サーバーは Java 8 を使用する必要があります。

  4. [SSL Cipher Suites] テキスト ボックスに、使用する暗号化アルゴリズムを指定します。 複数のアルゴリズムを指定する場合は、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA のように、各アルゴリズムをカンマで区切ります。
  5. [Update] をクリックします。

    無効なプロトコルまたは cipher suite を指定すると、エラーが返されます。

暗号スイート リファレンス

ポータルは次のアルゴリズムをサポートしています。

暗号 ID名前鍵交換認証アルゴリズム暗号化アルゴリズムビットハッシュ アルゴリズム
0x00C030TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384ECDHRSAAES_256_GCM256SHA384
0x00C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384ECDHRSA AES_256_CBC256 SHA384
0x00C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDHRSA AES_256_CBC256SHA
0x00009F TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 DHRSA AES_256_GCM256 SHA384
0x00006B TLS_DHE_RSA_WITH_AES_256_CBC_SHA256DHRSA AES_256_CBC256 SHA256
0x000039 TLS_DHE_RSA_WITH_AES_256_CBC_SHADHRSA AES_256_CBC256SHA
0x00009D TLS_RSA_WITH_AES_256_GCM_SHA384RSARSA AES_256_GCM256 SHA384
0x00003D TLS_RSA_WITH_AES_256_CBC_SHA256RSARSA AES_256_CBC256SHA256
0x000035 TLS_RSA_WITH_AES_256_CBC_SHARSARSA AES_256_CBC256SHA
0x00C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHRSA AES_128_GCM128SHA256
0x00C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDHRSA AES_128_CBC128SHA256
0x00C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAECDHRSA AES_128_CBC128SHA
0x00009E TLS_DHE_RSA_WITH_AES_128_GCM_SHA256DHRSA AES_128_GCM128SHA256
0x000067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256DHRSA AES_128_CBC128SHA256
0x000033 TLS_DHE_RSA_WITH_AES_128_CBC_SHADHRSA AES_128_CBC128SHA
0x00009C TLS_RSA_WITH_AES_128_GCM_SHA256RSARSA AES_128_GCM128SHA256
0x00003C TLS_RSA_WITH_AES_128_CBC_SHA256RSARSA AES_128_CBC128SHA256
0x00002F TLS_RSA_WITH_AES_128_CBC_SHARSARSA AES_128_CBC128SHA
0x00C012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA ECDHRSA 3DES_EDE_CBC168SHA
0x000016 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHADHRSA 3DES_EDE_CBC168SHA
0x00000A SSL_RSA_WITH_3DES_EDE_CBC_SHARSARSA 3DES_EDE_CBC168SHA
0x00C02CTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384ECDHECDSAAES_256_GCM256SHA384
0x00C024TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384ECDHECDSAAES_256_CBC256SHA384
0x00C00ATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHAECDHECDSAAES_256_CBC256SHA
0x00C02BTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256ECDHECDSAAES_128_GCM128SHA256
0x00C023TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256ECDHECDSAAES_128_CBC128SHA256
0x00C009TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHAECDHECDSAAES_128_CBC128SHA
0x00C008TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHAECDHECDSA3DES_EDE_CBC168SHA
0x1302 TLS_AES_256_GCM_SHA384-- AES_256_GCM256SHA384
0x1301 TLS_AES_128_GCM_SHA256-- AES_128_GCM128SHA256

用語

上記の表では次の用語が使用されています。

  • ECDH - Elliptic-Curve Diffie-Hellman
  • DH - Diffie-Hellman
  • RSA - Rivest, Shamir, Adleman
  • ECDSA - Elliptic Curve Digital Signature Algorithm
  • AES - Advanced Encryption Standard
  • GCM - Galois/Counter Mode (暗号化ブロックの利用モード)
  • CBC - Cipher Block Chaining
  • 3DES - Triple Data Encryption Algorithm
  • SHA - Secure Hashing Algorithm