デフォルトで、ArcGIS Server は HTTPS プロトコルの使用を強制するため、Web トラフィック用のセキュアな通信チャンネルが作成されます。HTTPS を介して ArcGIS Server URL にアクセスすることにより、ネットワークの機密性と一貫性が確保されます。HTTP を介して送信されるパスワードは傍受されて盗まれる可能性があるため、ArcGIS Server に接続できる Esri のアプリケーションは、ネットワークを介して認証情報を送信する前に、RSA パブリック キー暗号化アルゴリズムを使用してユーザー名とパスワードを暗号化します。
HTTPS の使用は、中間者攻撃に対する保護手段となります。この攻撃では、悪意のある第三者がネットワーク経由での非セキュアな通信を傍受し、クライアントとサーバーのどちらに対してもその通信の合法的なソースになりすまします。
HTTPS 経由での通信は、デジタル証明書を使用して確立されます。証明書は、クライアントとサーバー間の信頼を確保するために証明機関 (CA) で署名されます。ArcGIS Server には独自の内部証明機関があり、デフォルトで自己署名証明書が付属していますが、外部 CA で署名された証明書を構成することをお勧めします。この理由は、ほとんどのブラウザーが自己署名証明書を使用しないように警告したり、自己署名証明書の使用を阻止したりするためです。つまり、自己署名証明書を使用する場合の警告を抑止する必要があります。IT 管理者には、外部 CA で署名された証明書をユーザーに提供する能力が必要となります。
証明書の詳細と ArcGIS Server でのさまざまな証明書構成の詳細な手順については、「サーバー証明書について」をご参照ください。
メモ:
ArcGIS Server は、リバース プロキシ/ロード バランサーを通じた SSL オフロードをサポートしていません。リバース プロキシが構成で使用されている場合、HTTPS を通じて ArcGIS Web Adaptor にリダイレクトするか、ArcGIS Server に直接リダイレクトする必要があります。
HTTP プロトコル設定の変更
状況に応じて、ArcGIS Server 管理者は HTTP 通信のデフォルトの規制を緩和させる場合があります。ほとんどの場合、これによって HTTP 経由での通信と HTTPS 経由での通信がどちらも可能になります。この操作を行うには、ArcGIS Server Administrator Directory を使用します。
- 管理者としてディレクトリにログインします。URL の形式は、https://server.domain.com:6443/arcgis/admin です。
- [security] > [config] > [update] の順に移動します。
- [Protocol] ドロップダウン メニューを開いて、目的のプロトコルを選択します。
注意:
ごくまれな状況でのみ、管理者はサイトのプロトコルを [HTTP Only] に設定します。この設定を行う理由が特にない場合は、プロトコルを [HTTP and HTTPS] または [HTTPS Only] のどちらかに設定します。
- [Update] をクリックして確定します。これにより、サーバーが再起動します。
HTTP Strict Transport Security の有効化
ArcGIS Server サイトで HTTPS を必ず使用するように強制する場合は、HTTP Strict Transport Security (HSTS) ヘッダーを有効にすることができます。有効にすると、サーバーは応答を返す際にすべての応答で Strict-Transport-Security ヘッダーを送信します。このヘッダーは、このヘッダーで規定された後続の期間 (デフォルト設定は 1 年) にサーバーに対して HTTPS リクエストを必ず使用するように受け取り側のブラウザーに指示します。HSTS はデフォルトで無効になっていますが、有効にすると、HTTPS Only プロトコルの使用が強制されます。
詳細については、「厳密な HTTPS 通信の実施」をご参照ください。
サポートされている TLS バージョン
TLS (Transport Layer Security) は、ネットワーク上で通信のセキュリティを実現する暗号プロトコルです。ArcGIS Server は、デフォルトで TLS バージョン 1.2 に対応しています。バージョン 1.0 および 1.1 の TLS プロトコルを有効にすることもできます。詳細については、「TLS プロトコルと暗号スイートの制限」をご参照ください。
レガシー:
10.3 以降、SSL (Secure Sockets Layer) は、SSL 3.0 POODLE の脆弱性のためサポートされなくなりました。