Skip To Content

TLS プロトコルと暗号スイートの制限

ArcGIS Server 管理者は、通信のセキュリティを保護するために ArcGIS Server が使用するトランスポート レイヤー セキュリティ (TLS) プロトコルと暗号化アルゴリズムを指定できます。 特定の TLS プロトコルと暗号化アルゴリズムを使用するように組織が定めていたり、ArcGIS Server を配置した Web サーバーが特定のプロトコルとアルゴリズムのみを許可している場合があります。 ArcGIS Server が認定されたプロトコルとアルゴリズムを使用することを指定すれば、サイトは組織のセキュリティ ポリシーに継続して準拠することになります。

2014 年に公開された POODLE 脆弱性を受けて、ArcGIS Server は 10.3 以降で SSL プロトコルのサポートを終了しました。ただし、TLS プロトコルを参照するために SSL はソフトウェア内で引き続き使用されています。

TLS プロトコル

デフォルトでは、ArcGIS ServerTLSv1.3 および TLSv1.2 プロトコルのみを使用します。 また、下記の手順を使用して TLSv1 および TLSv1.1 プロトコルを有効にすることもできます。

デフォルトの暗号化アルゴリズム

ArcGIS Server はデフォルトで、次の暗号化アルゴリズムを次に示す順序で使用するように構成されています。

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_AES_256_GCM_SHA384 (TLSv1.3 のみ)
  • TLS_AES_128_GCM_SHA256 (TLSv1.3 のみ)

セキュリティ上の理由から、以前のバージョンでデフォルトで有効になっていたいくつかの暗号化アルゴリズムが無効化されています。 このようなアルゴリズムは、必要に応じて、旧バージョンのクライアントに対して再有効化できます。 サポートされている暗号化アルゴリズムの全リストについては、後述の「Cipher suite リファレンス」をご参照ください。

ArcGIS Server Administrator Directory を使用して、サイトで使用する TLS プロトコルと暗号化アルゴリズムを指定します。

  1. ArcGIS Server Administrator Directory を開いて、サイトの管理者としてサイン インします。

    URL の形式は https://gisserver.domain.com:6443/arcgis/admin です。

  2. [Security] > [Config] > [Update] の順にクリックします。
  3. [SSL Protocols] テキスト ボックスに、使用するプロトコルを指定します。 複数のプロトコルを指定する場合は、TLSv1.2, TLSv1.1 のように、各プロトコルをカンマで区切ります。
    注意:

    ArcGIS Web Adaptor をホストする Web サーバーが、有効化しているプロトコルを使用して完全に通信できることを確認します。 Java 版の Web Adaptor を使用する場合、Web Adaptor をホストする Web サーバーは Java 8 を使用する必要があります。

  4. [SSL Cipher Suites] テキスト ボックスに、使用する暗号化アルゴリズムを指定します。 複数のアルゴリズムを指定する場合は、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA のように、各アルゴリズムをカンマで区切ります。
  5. [Update] をクリックします。

    無効なプロトコルまたは cipher suite を指定すると、エラーが返されます。

Cipher suite リファレンス

ArcGIS Server は次のプロトコルをサポートしています。

暗号 ID名前鍵交換認証アルゴリズム暗号化アルゴリズムビットハッシュ アルゴリズム
0x00C030TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384ECDHRSAAES_256_GCM256SHA384
0x00C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384ECDHRSA AES_256_CBC256 SHA384
0x00C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDHRSA AES_256_CBC256SHA
0x00009F TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 DHRSA AES_256_GCM256 SHA384
0x00006B TLS_DHE_RSA_WITH_AES_256_CBC_SHA256DHRSA AES_256_CBC256 SHA256
0x000039 TLS_DHE_RSA_WITH_AES_256_CBC_SHADHRSA AES_256_CBC256SHA
0x00009D TLS_RSA_WITH_AES_256_GCM_SHA384RSARSA AES_256_GCM256 SHA384
0x00003D TLS_RSA_WITH_AES_256_CBC_SHA256RSARSA AES_256_CBC256SHA256
0x000035 TLS_RSA_WITH_AES_256_CBC_SHARSARSA AES_256_CBC256SHA
0x00C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHRSA AES_128_GCM128SHA256
0x00C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDHRSA AES_128_CBC128SHA256
0x00C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAECDHRSA AES_128_CBC128SHA
0x00009E TLS_DHE_RSA_WITH_AES_128_GCM_SHA256DHRSA AES_128_GCM128SHA256
0x000067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256DHRSA AES_128_CBC128SHA256
0x000033 TLS_DHE_RSA_WITH_AES_128_CBC_SHADHRSA AES_128_CBC128SHA
0x00009C TLS_RSA_WITH_AES_128_GCM_SHA256RSARSA AES_128_GCM128SHA256
0x00003C TLS_RSA_WITH_AES_128_CBC_SHA256RSARSA AES_128_CBC128SHA256
0x00002F TLS_RSA_WITH_AES_128_CBC_SHARSARSA AES_128_CBC128SHA
0x00C012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA ECDHRSA 3DES_EDE_CBC168SHA
0x000016 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHADHRSA 3DES_EDE_CBC168SHA
0x00000A SSL_RSA_WITH_3DES_EDE_CBC_SHARSARSA 3DES_EDE_CBC168SHA
0x00C02CTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384ECDHECDSAAES_256_GCM256SHA384
0x00C024TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384ECDHECDSAAES_256_CBC256SHA384
0x00C00ATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHAECDHECDSAAES_256_CBC256SHA
0x00C02BTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256ECDHECDSAAES_128_GCM128SHA256
0x00C023TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256ECDHECDSAAES_128_CBC128SHA256
0x00C009TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHAECDHECDSAAES_128_CBC128SHA
0x00C008TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHAECDHECDSA3DES_EDE_CBC168SHA
0x1302 TLS_AES_256_GCM_SHA384-- AES_256_GCM256SHA384
0x1301 TLS_AES_128_GCM_SHA256-- AES_128_GCM128SHA256

用語

上記の表では次の用語が使用されています。

  • ECDH - Elliptic-Curve Diffie-Hellman
  • DH - Diffie-Hellman
  • RSA - Rivest, Shamir, Adleman
  • ECDSA - Elliptic Curve Digital Signature Algorithm
  • AES - Advanced Encryption Standard
  • GCM - Galois/Counter Mode (暗号化ブロックの利用モード)
  • CBC - Cipher Block Chaining
  • 3DES - Triple Data Encryption Algorithm
  • SHA - Secure Hashing Algorithm