Jako administrator portalu możesz zdefiniować protokoły TLS (Transport Layer Security) i algorytmy szyfrowania, które są używane przez wewnętrzny serwer internetowy portalu w celu zabezpieczenia komunikacji. Instytucja może wymagać użycia konkretnych protokołów TLS i algorytmów szyfrowania. Zdefiniowanie użycia przez portal certyfikowanych protokołów i algorytmów zapewnia zgodność portalu z zasadami zabezpieczeń instytucji.
Domyślne protokoły SSL
Domyślnie portal jest skonfigurowany do użycia wyłączenie protokołu TLSv1.2. Można również włączyć protokoły TLSv1 i TLSv1.1, wykonując poniższe czynności.
Domyślne algorytmy szyfrowania
Portal jest domyślnie skonfigurowany do użycia następujących algorytmów szyfrowania w kolejności podanej poniżej:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_DHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
Ze względów bezpieczeństwa kilka algorytmów szyfrowania, które były domyślnie włączone w poprzednich wersjach, zostało teraz wyłączonych. Nadal można je włączyć, jeśli jest to wymagane przez starsze aplikacje klienckie. Poniższa sekcja Informacje o pakietach szyfrujących zawiera pełną listę obsługiwanych algorytmów.
W celu zdefiniowania protokołów TLS i algorytmów szyfrowania, które są używane przez portal, należy skorzystać z aplikacji ArcGIS Portal Directory.
- Otwórz aplikację ArcGIS Portal Directory i zaloguj się jako administrator instytucji. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Kliknij opcję Security (Zabezpieczenia) > SSLCertificates (Certyfikaty SSL) > Update (Aktualizuj).
- W polu tekstowym Protokoły SSL podaj protokoły, które mają być używane. Jeśli podajesz wiele protokołów, rozdziel je przecinkami. Na przykład: TLSv1.2, TLSv1.1.
Notatka:
Upewnij się, że serwer internetowy, który hostuje aplikację Web Adaptor, został skonfigurowany do użycia włączanych protokołów. Jeśli używasz aplikacji Java Web Adaptor, hostujący ją serwer internetowy musi używać języka Java 8.
- W polu tekstowym Pakiety szyfrujące podaj algorytmy szyfrowania, które mają być używane. Jeśli podajesz wiele algorytmów, rozdziel je przecinkami. Na przykład: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
- Kliknij przycisk Aktualizuj (Update). Jeśli podasz nieprawidłowy protokół lub pakiet szyfrujący, zostanie zwrócony błąd.
Informacje o pakietach szyfrujących
Identyfikator pakietu szyfrującego | Nazwa | Wymiana kluczy | Algorytm uwierzytelniania | Algorytm szyfrowania | Bity | Algorytm tworzenia skrótów |
---|---|---|---|---|---|---|
0x00C030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDH | RSA | AES_256_GCM | 256 | SHA384 |
0x00C028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDH | RSA | AES_256_CBC | 256 | SHA384 |
0x00C014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDH | RSA | AES_256_CBC | 256 | SHA |
0x00009F | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | DH | RSA | AES_256_GCM | 256 | SHA384 |
0x00006B | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | DH | RSA | AES_256_CBC | 256 | SHA256 |
0x000039 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | DH | RSA | AES_256_CBC | 256 | SHA |
0x00009D | TLS_RSA_WITH_AES_256_GCM_SHA384 | RSA | RSA | AES_256_GCM | 256 | SHA384 |
0x00003D | TLS_RSA_WITH_AES_256_CBC_SHA256 | RSA | RSA | AES_256_CBC | 256 | SHA256 |
0x000035 | TLS_RSA_WITH_AES_256_CBC_SHA | RSA | RSA | AES_256_CBC | 256 | SHA |
0x00C02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDH | RSA | AES_128_GCM | 128 | SHA256 |
0x00C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDH | RSA | AES_128_CBC | 128 | SHA256 |
0x00C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDH | RSA | AES_128_CBC | 128 | SHA |
0x00009E | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | DH | RSA | AES_128_GCM | 128 | SHA256 |
0x000067 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | DH | RSA | AES_128_CBC | 128 | SHA256 |
0x000033 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | DH | RSA | AES_128_CBC | 128 | SHA |
0x00009C | TLS_RSA_WITH_AES_128_GCM_SHA256 | RSA | RSA | AES_128_GCM | 128 | SHA256 |
0x00003C | TLS_RSA_WITH_AES_128_CBC_SHA256 | RSA | RSA | AES_128_CBC | 128 | SHA256 |
0x00002F | TLS_RSA_WITH_AES_128_CBC_SHA | RSA | RSA | AES_128_CBC | 128 | SHA |
0x00C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDH | RSA | 3DES_EDE_CBC | 168 | SHA |
0x000016 | SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA | DH | RSA | 3DES_EDE_CBC | 168 | SHA |
0x00000A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | RSA | RSA | 3DES_EDE_CBC | 168 | SHA |
0x00C02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ECDH | ECDSA | AES_256_GCM | 256 | SHA384 |
0x00C024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ECDH | ECDSA | AES_256_CBC | 256 | SHA384 |
0x00C00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ECDH | ECDSA | AES_256_CBC | 256 | SHA |
0x00C02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ECDH | ECDSA | AES_128_GCM | 128 | SHA256 |
0x00C023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ECDH | ECDSA | AES_128_CBC | 128 | SHA256 |
0x00C009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ECDH | ECDSA | AES_128_CBC | 128 | SHA |
0x00C008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | ECDH | ECDSA | 3DES_EDE_CBC | 168 | SHA |
Terminologia
- ECDH — krzywa eliptyczna Diffiego-Hellmana
- DH — algorytm Diffiego-Hellmana
- RSA — algorytm Rivesta-Shamira-Adlemana
- ECDSA — algorytm podpisu cyfrowego przy użyciu krzywej eliptycznej
- AES — Advanced Encryption Standard
- GCM — tryb Galois/Counter Mode, tryb pracy dla szyfrów bloków kryptograficznych
- CBC — wiązanie bloków zaszyfrowanych
- 3DES — algorytm Triple Data Encryption (3DES)
- SHA — Secure Hashing Algorithm