Skip To Content

TLS プロトコルと暗号スイートの制限

ArcGIS 11.4 (Windows)  | |  ヘルプのアーカイブ

ArcGIS Server 管理者は、通信のセキュリティを保護するために ArcGIS Server が使用するトランスポート レイヤー セキュリティ (TLS) プロトコルと暗号化アルゴリズムを指定できます。 特定の TLS プロトコルと暗号化アルゴリズムを使用するように組織が定めていたり、ArcGIS Server を配置した Web サーバーが特定のプロトコルとアルゴリズムのみを許可している場合があります。 ArcGIS Server が認定されたプロトコルとアルゴリズムを使用することを指定すれば、サイトは組織のセキュリティ ポリシーに継続して準拠することになります。

2014 年に公開された POODLE 脆弱性を受けて、ArcGIS Server は 10.3 以降で SSL プロトコルのサポートを終了しました。ただし、TLS プロトコルを参照するために SSL はソフトウェア内で引き続き使用されています。

TLS プロトコル

デフォルトでは、ArcGIS ServerTLSv1.3 および TLSv1.2 プロトコルのみを使用します。 また、下記の手順を使用して TLSv1 および TLSv1.1 プロトコルを有効にすることもできます。

デフォルトの暗号化アルゴリズム

ArcGIS Server はデフォルトで、次の暗号化アルゴリズムを次に示す順序で使用するように構成されています。

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_AES_256_GCM_SHA384 (TLSv1.3 のみ)
  • TLS_AES_128_GCM_SHA256 (TLSv1.3 のみ)

セキュリティ上の理由から、以前のバージョンでデフォルトで有効になっていたいくつかの暗号化アルゴリズムが無効化されています。 このようなアルゴリズムは、必要に応じて、旧バージョンのクライアントに対して再有効化できます。 サポートされている暗号化アルゴリズムの全リストについては、後述の「暗号スイート リファレンス」をご参照ください。

ArcGIS Server Administrator Directory を使用して、サイトで使用する TLS プロトコルと暗号化アルゴリズムを指定します。

  1. ArcGIS Server Administrator Directory を開いて、サイトの管理者としてサイン インします。

    URL の形式は https://gisserver.example.com:6443/arcgis/admin です。

  2. [Security] > [Config] > [Update] の順にクリックします。
  3. [SSL Protocols] テキスト ボックスに、使用するプロトコルを指定します。 複数のプロトコルを指定する場合は、TLSv1.2, TLSv1.1 のように、各プロトコルをカンマで区切ります。
    注意:

    ArcGIS Web Adaptor をホストする Web サーバーが、有効化しているプロトコルを使用して完全に通信できることを確認します。

  4. [Cipher Suites] テキスト ボックスに、IANA 形式で使用される暗号スイートを指定します。 各アルゴリズムをカンマで区切ります (例: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA)。
  5. [Update] をクリックします。

    無効なプロトコルまたは cipher suite を指定すると、エラーが返されます。

暗号スイート リファレンス

ArcGIS Server は次のプロトコルをサポートしています。

暗号 ID名前 (IANA 形式)名前 (OpenSSL 形式)鍵交換認証アルゴリズム暗号化アルゴリズムビットハッシュ アルゴリズム
0xC030TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384ECDHRSAAES_256_GCM256SHA384
0xC028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDHE-RSA-AES256-SHA384ECDHRSA AES_256_CBC256 SHA384
0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDHE-RSA-AES256-SHA ECDHRSA AES_256_CBC256SHA
0x009F TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 DHE-RSA-AES256-GCM-SHA384 DHRSA AES_256_GCM256 SHA384
0x006B TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 DHE-RSA-AES256-SHA256DHRSA AES_256_CBC256 SHA256
0x0039 TLS_DHE_RSA_WITH_AES_256_CBC_SHA DHE-RSA-AES256-SHADHRSA AES_256_CBC256SHA
0x009D TLS_RSA_WITH_AES_256_GCM_SHA384 AES256-GCM-SHA384RSARSA AES_256_GCM256 SHA384
0x003D TLS_RSA_WITH_AES_256_CBC_SHA256 AES256-SHA256RSARSA AES_256_CBC256SHA256
0x0035 TLS_RSA_WITH_AES_256_CBC_SHA AES256-SHARSARSA AES_256_CBC256SHA
0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHRSA AES_128_GCM128SHA256
0xC027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES128-SHA256 ECDHRSA AES_128_CBC128SHA256
0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDHE-RSA-AES128-SHAECDHRSA AES_128_CBC128SHA
0x009E TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 DHE-RSA-AES128-GCM-SHA256DHRSA AES_128_GCM128SHA256
0x0067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 DHE-RSA-AES128-SHA256DHRSA AES_128_CBC128SHA256
0x0033 TLS_DHE_RSA_WITH_AES_128_CBC_SHA DHE-RSA-AES128-SHADHRSA AES_128_CBC128SHA
0x009C TLS_RSA_WITH_AES_128_GCM_SHA256 AES128-GCM-SHA256RSARSA AES_128_GCM128SHA256
0x003C TLS_RSA_WITH_AES_128_CBC_SHA256 AES128-SHA256RSARSA AES_128_CBC128SHA256
0x002F TLS_RSA_WITH_AES_128_CBC_SHA AES128-SHARSARSA AES_128_CBC128SHA
0xC012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA ECDHE-RSA-DES-CBC3-SHA ECDHRSA 3DES_EDE_CBC168SHA
0x0016 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA EDH-RSA-DES-CBC3-SHADHRSA 3DES_EDE_CBC168SHA
0x000A SSL_RSA_WITH_3DES_EDE_CBC_SHA DES-CBC3-SHARSARSA 3DES_EDE_CBC168SHA
0xC02CTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 ECDHE-ECDSA-AES256-GCM-SHA384ECDHECDSAAES_256_GCM256SHA384
0xC024TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 ECDHE-ECDSA-AES256-SHA384ECDHECDSAAES_256_CBC256SHA384
0xC00ATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDHE-ECDSA-AES256-SHAECDHECDSAAES_256_CBC256SHA
0xC02BTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 ECDHE-ECDSA-AES128-GCM-SHA256ECDHECDSAAES_128_GCM128SHA256
0xC023TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 ECDHE-ECDSA-AES128-SHA256ECDHECDSAAES_128_CBC128SHA256
0xC009TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA ECDHE-ECDSA-AES128-SHAECDHECDSAAES_128_CBC128SHA
0xC008TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA ECDHE-ECDSA-DES-CBC3-SHAECDHECDSA3DES_EDE_CBC168SHA
0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 ECDHE-RSA-CHACHA20-POLY1305 ECDH RSA CHACHA20 POLY1305 256 SHA256
0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 ECDHE-ECDSA-CHACHA20-POLY1305 ECDH ECDSA CHACHA20 POLY1305 256 SHA256
0x1301 TLS_AES_128_GCM_SHA256 (TLSv1.3 only) TLS_AES_128_GCM_SHA256-- AES_128_GCM128SHA256
0x1302 TLS_AES_256_GCM_SHA384 (TLSv1.3 only) TLS_AES_256_GCM_SHA384-- AES_256_GCM256SHA384
0x1303 TLS_CHACHA20_POLY1305_SHA256 (TLSv1.3 only) TLS_CHACHA20_POLY1305_SHA256-- CHACHA20 POLY1305 256 SHA256

用語

上記の表では次の用語が使用されています。

  • ECDH - Elliptic-Curve Diffie-Hellman
  • DH - Diffie-Hellman
  • RSA - Rivest, Shamir, Adleman
  • ECDSA - Elliptic Curve Digital Signature Algorithm
  • AES - Advanced Encryption Standard
  • GCM - Galois/Counter Mode (ブロック暗号利用モード)
  • CBC - Cipher Block Chaining
  • 3DES - Triple Data Encryption Algorithm
  • SHA - Secure Hashing Algorithm
  • CHACHA20 - ChaCha ストリーム暗号
  • POLY1305 - Poly1305 認証