ArcGIS Server 管理者は、通信のセキュリティを保護するために ArcGIS Server が使用するトランスポート レイヤー セキュリティ (TLS) プロトコルと暗号化アルゴリズムを指定できます。 特定の TLS プロトコルと暗号化アルゴリズムを使用するように組織が定めていたり、ArcGIS Server を配置した Web サーバーが特定のプロトコルとアルゴリズムのみを許可している場合があります。 ArcGIS Server が認定されたプロトコルとアルゴリズムを使用することを指定すれば、サイトは組織のセキュリティ ポリシーに継続して準拠することになります。
2014 年に公開された POODLE 脆弱性を受けて、ArcGIS Server は 10.3 以降で SSL プロトコルのサポートを終了しました。ただし、TLS プロトコルを参照するために SSL はソフトウェア内で引き続き使用されています。
TLS プロトコル
デフォルトでは、ArcGIS Server は TLSv1.3 および TLSv1.2 プロトコルのみを使用します。 また、下記の手順を使用して TLSv1 および TLSv1.1 プロトコルを有効にすることもできます。
デフォルトの暗号化アルゴリズム
ArcGIS Server はデフォルトで、次の暗号化アルゴリズムを次に示す順序で使用するように構成されています。
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_AES_256_GCM_SHA384 (TLSv1.3 のみ)
- TLS_AES_128_GCM_SHA256 (TLSv1.3 のみ)
セキュリティ上の理由から、以前のバージョンでデフォルトで有効になっていたいくつかの暗号化アルゴリズムが無効化されています。 このようなアルゴリズムは、必要に応じて、旧バージョンのクライアントに対して再有効化できます。 サポートされている暗号化アルゴリズムの全リストについては、後述の「暗号スイート リファレンス」をご参照ください。
ArcGIS Server Administrator Directory を使用して、サイトで使用する TLS プロトコルと暗号化アルゴリズムを指定します。
- ArcGIS Server Administrator Directory を開いて、サイトの管理者としてサイン インします。
URL の形式は https://gisserver.example.com:6443/arcgis/admin です。
- [Security] > [Config] > [Update] の順にクリックします。
- [SSL Protocols] テキスト ボックスに、使用するプロトコルを指定します。 複数のプロトコルを指定する場合は、TLSv1.2, TLSv1.1 のように、各プロトコルをカンマで区切ります。
注意:
ArcGIS Web Adaptor をホストする Web サーバーが、有効化しているプロトコルを使用して完全に通信できることを確認します。
- [Cipher Suites] テキスト ボックスに、IANA 形式で使用される暗号スイートを指定します。 各アルゴリズムをカンマで区切ります (例: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA)。
- [Update] をクリックします。
無効なプロトコルまたは cipher suite を指定すると、エラーが返されます。
暗号スイート リファレンス
ArcGIS Server は次のプロトコルをサポートしています。
暗号 ID | 名前 (IANA 形式) | 名前 (OpenSSL 形式) | 鍵交換 | 認証アルゴリズム | 暗号化アルゴリズム | ビット | ハッシュ アルゴリズム |
---|---|---|---|---|---|---|---|
0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDHE-RSA-AES256-GCM-SHA384 | ECDH | RSA | AES_256_GCM | 256 | SHA384 |
0xC028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDHE-RSA-AES256-SHA384 | ECDH | RSA | AES_256_CBC | 256 | SHA384 |
0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDHE-RSA-AES256-SHA | ECDH | RSA | AES_256_CBC | 256 | SHA |
0x009F | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | DHE-RSA-AES256-GCM-SHA384 | DH | RSA | AES_256_GCM | 256 | SHA384 |
0x006B | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | DHE-RSA-AES256-SHA256 | DH | RSA | AES_256_CBC | 256 | SHA256 |
0x0039 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | DHE-RSA-AES256-SHA | DH | RSA | AES_256_CBC | 256 | SHA |
0x009D | TLS_RSA_WITH_AES_256_GCM_SHA384 | AES256-GCM-SHA384 | RSA | RSA | AES_256_GCM | 256 | SHA384 |
0x003D | TLS_RSA_WITH_AES_256_CBC_SHA256 | AES256-SHA256 | RSA | RSA | AES_256_CBC | 256 | SHA256 |
0x0035 | TLS_RSA_WITH_AES_256_CBC_SHA | AES256-SHA | RSA | RSA | AES_256_CBC | 256 | SHA |
0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDHE-RSA-AES128-GCM-SHA256 | ECDH | RSA | AES_128_GCM | 128 | SHA256 |
0xC027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDHE-RSA-AES128-SHA256 | ECDH | RSA | AES_128_CBC | 128 | SHA256 |
0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDHE-RSA-AES128-SHA | ECDH | RSA | AES_128_CBC | 128 | SHA |
0x009E | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | DHE-RSA-AES128-GCM-SHA256 | DH | RSA | AES_128_GCM | 128 | SHA256 |
0x0067 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | DHE-RSA-AES128-SHA256 | DH | RSA | AES_128_CBC | 128 | SHA256 |
0x0033 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | DHE-RSA-AES128-SHA | DH | RSA | AES_128_CBC | 128 | SHA |
0x009C | TLS_RSA_WITH_AES_128_GCM_SHA256 | AES128-GCM-SHA256 | RSA | RSA | AES_128_GCM | 128 | SHA256 |
0x003C | TLS_RSA_WITH_AES_128_CBC_SHA256 | AES128-SHA256 | RSA | RSA | AES_128_CBC | 128 | SHA256 |
0x002F | TLS_RSA_WITH_AES_128_CBC_SHA | AES128-SHA | RSA | RSA | AES_128_CBC | 128 | SHA |
0xC012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDHE-RSA-DES-CBC3-SHA | ECDH | RSA | 3DES_EDE_CBC | 168 | SHA |
0x0016 | SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA | EDH-RSA-DES-CBC3-SHA | DH | RSA | 3DES_EDE_CBC | 168 | SHA |
0x000A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | DES-CBC3-SHA | RSA | RSA | 3DES_EDE_CBC | 168 | SHA |
0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ECDHE-ECDSA-AES256-GCM-SHA384 | ECDH | ECDSA | AES_256_GCM | 256 | SHA384 |
0xC024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ECDHE-ECDSA-AES256-SHA384 | ECDH | ECDSA | AES_256_CBC | 256 | SHA384 |
0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ECDHE-ECDSA-AES256-SHA | ECDH | ECDSA | AES_256_CBC | 256 | SHA |
0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ECDHE-ECDSA-AES128-GCM-SHA256 | ECDH | ECDSA | AES_128_GCM | 128 | SHA256 |
0xC023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ECDHE-ECDSA-AES128-SHA256 | ECDH | ECDSA | AES_128_CBC | 128 | SHA256 |
0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ECDHE-ECDSA-AES128-SHA | ECDH | ECDSA | AES_128_CBC | 128 | SHA |
0xC008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | ECDHE-ECDSA-DES-CBC3-SHA | ECDH | ECDSA | 3DES_EDE_CBC | 168 | SHA |
0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | ECDHE-RSA-CHACHA20-POLY1305 | ECDH | RSA | CHACHA20 POLY1305 | 256 | SHA256 |
0xCCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 | ECDHE-ECDSA-CHACHA20-POLY1305 | ECDH | ECDSA | CHACHA20 POLY1305 | 256 | SHA256 |
0x1301 | TLS_AES_128_GCM_SHA256 (TLSv1.3 only) | TLS_AES_128_GCM_SHA256 | - | - | AES_128_GCM | 128 | SHA256 |
0x1302 | TLS_AES_256_GCM_SHA384 (TLSv1.3 only) | TLS_AES_256_GCM_SHA384 | - | - | AES_256_GCM | 256 | SHA384 |
0x1303 | TLS_CHACHA20_POLY1305_SHA256 (TLSv1.3 only) | TLS_CHACHA20_POLY1305_SHA256 | - | - | CHACHA20 POLY1305 | 256 | SHA256 |
用語
上記の表では次の用語が使用されています。
- ECDH - Elliptic-Curve Diffie-Hellman
- DH - Diffie-Hellman
- RSA - Rivest, Shamir, Adleman
- ECDSA - Elliptic Curve Digital Signature Algorithm
- AES - Advanced Encryption Standard
- GCM - Galois/Counter Mode (ブロック暗号利用モード)
- CBC - Cipher Block Chaining
- 3DES - Triple Data Encryption Algorithm
- SHA - Secure Hashing Algorithm
- CHACHA20 - ChaCha ストリーム暗号
- POLY1305 - Poly1305 認証