TLS プロトコルと暗号スイートの制限—ArcGIS Server

ArcGIS Server 管理者は、通信のセキュリティを保護するために ArcGIS Server が使用するトランスポートレイヤーセキュリティ (TLS) プロトコルと暗号化アルゴリズムを指定できます。特定の TLS プロトコルと暗号化アルゴリズムを使用するように組織が定めていたり、ArcGIS Server を配置した Web サーバーが特定のプロトコルとアルゴリズムのみを許可している場合があります。 ArcGIS Server が認定されたプロトコルとアルゴリズムを使用することを指定すれば、サイトは組織のセキュリティポリシーに継続して準拠することになります。

2014 年に公開された POODLE 脆弱性を受けて、ArcGIS Server は 10.3 以降で SSL プロトコルのサポートを終了しました。ただし、TLS プロトコルを参照するために SSL はソフトウェア内で引き続き使用されています。

TLS プロトコル

デフォルトでは、ArcGIS Server は TLSv1.3 および TLSv1.2 プロトコルのみを使用します。また、下記の手順を使用して TLSv1 および TLSv1.1 プロトコルを有効にすることもできます。

デフォルトの暗号化アルゴリズム

ArcGIS Server はデフォルトで、次の暗号化アルゴリズムを次に示す順序で使用するように構成されています。

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_AES_256_GCM_SHA384 (TLSv1.3 のみ)
TLS_AES_128_GCM_SHA256 (TLSv1.3 のみ)

セキュリティ上の理由から、以前のバージョンでデフォルトで有効になっていたいくつかの暗号化アルゴリズムが無効化されています。このようなアルゴリズムは、必要に応じて、旧バージョンのクライアントに対して再有効化できます。サポートされている暗号化アルゴリズムの全リストについては、後述の「暗号スイートリファレンス」をご参照ください。

ArcGIS Server Administrator Directory を使用して、サイトで使用する TLS プロトコルと暗号化アルゴリズムを指定します。

ArcGIS Server Administrator Directory を開いて、サイトの管理者としてサインインします。
URL の形式は https://gisserver.example.com:6443/arcgis/admin です。
[Security] > [Config] > [Update] の順にクリックします。
[SSL Protocols] テキストボックスに、使用するプロトコルを指定します。複数のプロトコルを指定する場合は、TLSv1.2, TLSv1.1 のように、各プロトコルをカンマで区切ります。
注意:
ArcGIS Web Adaptor をホストする Web サーバーが、有効化しているプロトコルを使用して完全に通信できることを確認します。
[Cipher Suites] テキストボックスに、IANA 形式で使用される暗号スイートを指定します。各アルゴリズムをカンマで区切ります (例: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA)。
[Update] をクリックします。
無効なプロトコルまたは cipher suite を指定すると、エラーが返されます。

暗号スイートリファレンス

ArcGIS Server は次のプロトコルをサポートしています。


暗号 ID	名前 (IANA 形式)	名前 (OpenSSL 形式)	鍵交換	認証アルゴリズム	暗号化アルゴリズム	ビット	ハッシュアルゴリズム
0xC030	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	ECDHE-RSA-AES256-GCM-SHA384	ECDH	RSA	AES_256_GCM	256	SHA384
0xC028	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	ECDHE-RSA-AES256-SHA384	ECDH	RSA	AES_256_CBC	256	SHA384
0xC014	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA	ECDHE-RSA-AES256-SHA	ECDH	RSA	AES_256_CBC	256	SHA
0x009F	TLS_DHE_RSA_WITH_AES_256_GCM_SHA384	DHE-RSA-AES256-GCM-SHA384	DH	RSA	AES_256_GCM	256	SHA384
0x006B	TLS_DHE_RSA_WITH_AES_256_CBC_SHA256	DHE-RSA-AES256-SHA256	DH	RSA	AES_256_CBC	256	SHA256
0x0039	TLS_DHE_RSA_WITH_AES_256_CBC_SHA	DHE-RSA-AES256-SHA	DH	RSA	AES_256_CBC	256	SHA
0x009D	TLS_RSA_WITH_AES_256_GCM_SHA384	AES256-GCM-SHA384	RSA	RSA	AES_256_GCM	256	SHA384
0x003D	TLS_RSA_WITH_AES_256_CBC_SHA256	AES256-SHA256	RSA	RSA	AES_256_CBC	256	SHA256
0x0035	TLS_RSA_WITH_AES_256_CBC_SHA	AES256-SHA	RSA	RSA	AES_256_CBC	256	SHA
0xC02F	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256	ECDHE-RSA-AES128-GCM-SHA256	ECDH	RSA	AES_128_GCM	128	SHA256
0xC027	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256	ECDHE-RSA-AES128-SHA256	ECDH	RSA	AES_128_CBC	128	SHA256
0xC013	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	ECDHE-RSA-AES128-SHA	ECDH	RSA	AES_128_CBC	128	SHA
0x009E	TLS_DHE_RSA_WITH_AES_128_GCM_SHA256	DHE-RSA-AES128-GCM-SHA256	DH	RSA	AES_128_GCM	128	SHA256
0x0067	TLS_DHE_RSA_WITH_AES_128_CBC_SHA256	DHE-RSA-AES128-SHA256	DH	RSA	AES_128_CBC	128	SHA256
0x0033	TLS_DHE_RSA_WITH_AES_128_CBC_SHA	DHE-RSA-AES128-SHA	DH	RSA	AES_128_CBC	128	SHA
0x009C	TLS_RSA_WITH_AES_128_GCM_SHA256	AES128-GCM-SHA256	RSA	RSA	AES_128_GCM	128	SHA256
0x003C	TLS_RSA_WITH_AES_128_CBC_SHA256	AES128-SHA256	RSA	RSA	AES_128_CBC	128	SHA256
0x002F	TLS_RSA_WITH_AES_128_CBC_SHA	AES128-SHA	RSA	RSA	AES_128_CBC	128	SHA
0xC012	TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA	ECDHE-RSA-DES-CBC3-SHA	ECDH	RSA	3DES_EDE_CBC	168	SHA
0x0016	SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA	EDH-RSA-DES-CBC3-SHA	DH	RSA	3DES_EDE_CBC	168	SHA
0x000A	SSL_RSA_WITH_3DES_EDE_CBC_SHA	DES-CBC3-SHA	RSA	RSA	3DES_EDE_CBC	168	SHA
0xC02C	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384	ECDHE-ECDSA-AES256-GCM-SHA384	ECDH	ECDSA	AES_256_GCM	256	SHA384
0xC024	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384	ECDHE-ECDSA-AES256-SHA384	ECDH	ECDSA	AES_256_CBC	256	SHA384
0xC00A	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA	ECDHE-ECDSA-AES256-SHA	ECDH	ECDSA	AES_256_CBC	256	SHA
0xC02B	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256	ECDHE-ECDSA-AES128-GCM-SHA256	ECDH	ECDSA	AES_128_GCM	128	SHA256
0xC023	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256	ECDHE-ECDSA-AES128-SHA256	ECDH	ECDSA	AES_128_CBC	128	SHA256
0xC009	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA	ECDHE-ECDSA-AES128-SHA	ECDH	ECDSA	AES_128_CBC	128	SHA
0xC008	TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA	ECDHE-ECDSA-DES-CBC3-SHA	ECDH	ECDSA	3DES_EDE_CBC	168	SHA
0xCCA8	TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256	ECDHE-RSA-CHACHA20-POLY1305	ECDH	RSA	CHACHA20 POLY1305	256	SHA256
0xCCA9	TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256	ECDHE-ECDSA-CHACHA20-POLY1305	ECDH	ECDSA	CHACHA20 POLY1305	256	SHA256
0x1301	TLS_AES_128_GCM_SHA256 (TLSv1.3 only)	TLS_AES_128_GCM_SHA256	-	-	AES_128_GCM	128	SHA256
0x1302	TLS_AES_256_GCM_SHA384 (TLSv1.3 only)	TLS_AES_256_GCM_SHA384	-	-	AES_256_GCM	256	SHA384
0x1303	TLS_CHACHA20_POLY1305_SHA256 (TLSv1.3 only)	TLS_CHACHA20_POLY1305_SHA256	-	-	CHACHA20 POLY1305	256	SHA256

用語

上記の表では次の用語が使用されています。

ECDH - Elliptic-Curve Diffie-Hellman
DH - Diffie-Hellman
RSA - Rivest, Shamir, Adleman
ECDSA - Elliptic Curve Digital Signature Algorithm
AES - Advanced Encryption Standard
GCM - Galois/Counter Mode (ブロック暗号利用モード)
CBC - Cipher Block Chaining
3DES - Triple Data Encryption Algorithm
SHA - Secure Hashing Algorithm
CHACHA20 - ChaCha ストリーム暗号
POLY1305 - Poly1305 認証

このトピックへのフィードバック