Jako administrator instytucji możesz zdefiniować protokoły TLS (Transport Layer Security) i algorytmy szyfrowania, które są używane przez wewnętrzny serwer internetowy portalu w celu zabezpieczenia komunikacji. Instytucja może wymagać użycia konkretnych protokołów TLS i algorytmów szyfrowania. Zdefiniowanie użycia przez portal certyfikowanych protokołów i algorytmów zapewnia zgodność portalu z zasadami zabezpieczeń instytucji.
Domyślne protokoły TLS
Domyślnie portal jest skonfigurowany do użycia protokołów TLSv1.3 i TLSv1.2. Można również włączyć protokoły TLSv1 i TLSv1.1, wykonując poniższe czynności.
Korzystanie z domyślnych algorytmów szyfrowania
Portal jest domyślnie skonfigurowany do użycia następujących algorytmów szyfrowania w kolejności podanej poniżej:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_AES_256_GCM_SHA384 (tylko TLSv1.3)
- TLS_AES_128_GCM_SHA256 (tylko TLSv1.3)
Ze względów bezpieczeństwa kilka algorytmów szyfrowania, które były domyślnie włączone w poprzednich wersjach, zostało wyłączonych. Można je włączyć, jeśli jest to wymagane przez starsze aplikacje klienckie. Poniższa sekcja Informacje o pakietach szyfrujących zawiera pełną listę obsługiwanych algorytmów.
W celu zdefiniowania protokołów TLS i algorytmów szyfrowania, które są używane przez portal, należy skorzystać z aplikacji Portal Administrator Directory.
- Otwórz aplikację Portal Administrator Directory i zaloguj się jako administrator instytucji.
Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Kliknij opcję Zabezpieczenia > Certyfikaty SSL > Aktualizuj.
- W polu tekstowym Protokoły SSL podaj protokoły, które mają być używane. Jeśli podajesz wiele protokołów, rozdziel je przecinkami, na przykład TLSv1.2, TLSv1.1.
Notatka:
Upewnij się, że serwer internetowy, który hostuje aplikację Web Adaptor, został skonfigurowany do użycia włączanych protokołów. Jeśli używasz aplikacji Java Web Adaptor, hostujący ją serwer internetowy musi używać języka Java 8.
- W polu tekstowym Pakiety szyfrujące podaj algorytmy szyfrowania, które mają być używane. Jeśli podajesz wiele algorytmów, rozdziel je przecinkami, na przykład TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
- Kliknij przycisk Update (Aktualizuj).
Jeśli podasz nieprawidłowy protokół lub pakiet szyfrujący, zostanie zwrócony błąd.
Informacje o pakietach szyfrujących
Portal obsługuje następujące algorytmy:
| Identyfikator pakietu szyfrującego | Nazwa | Wymiana kluczy | Algorytm uwierzytelniania | Algorytm szyfrowania | Bity | Algorytm tworzenia skrótów |
|---|---|---|---|---|---|---|
| 0x00C030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDH | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00C028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDH | RSA | AES_256_CBC | 256 | SHA384 |
| 0x00C014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDH | RSA | AES_256_CBC | 256 | SHA |
| 0x00009F | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | DH | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00006B | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | DH | RSA | AES_256_CBC | 256 | SHA256 |
| 0x000039 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | DH | RSA | AES_256_CBC | 256 | SHA |
| 0x00009D | TLS_RSA_WITH_AES_256_GCM_SHA384 | RSA | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00003D | TLS_RSA_WITH_AES_256_CBC_SHA256 | RSA | RSA | AES_256_CBC | 256 | SHA256 |
| 0x000035 | TLS_RSA_WITH_AES_256_CBC_SHA | RSA | RSA | AES_256_CBC | 256 | SHA |
| 0x00C02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDH | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDH | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDH | RSA | AES_128_CBC | 128 | SHA |
| 0x00009E | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | DH | RSA | AES_128_GCM | 128 | SHA256 |
| 0x000067 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | DH | RSA | AES_128_CBC | 128 | SHA256 |
| 0x000033 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | DH | RSA | AES_128_CBC | 128 | SHA |
| 0x00009C | TLS_RSA_WITH_AES_128_GCM_SHA256 | RSA | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00003C | TLS_RSA_WITH_AES_128_CBC_SHA256 | RSA | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00002F | TLS_RSA_WITH_AES_128_CBC_SHA | RSA | RSA | AES_128_CBC | 128 | SHA |
| 0x00C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDH | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x000016 | SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA | DH | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x00000A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | RSA | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x00C02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ECDH | ECDSA | AES_256_GCM | 256 | SHA384 |
| 0x00C024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ECDH | ECDSA | AES_256_CBC | 256 | SHA384 |
| 0x00C00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ECDH | ECDSA | AES_256_CBC | 256 | SHA |
| 0x00C02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ECDH | ECDSA | AES_128_GCM | 128 | SHA256 |
| 0x00C023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ECDH | ECDSA | AES_128_CBC | 128 | SHA256 |
| 0x00C009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ECDH | ECDSA | AES_128_CBC | 128 | SHA |
| 0x00C008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | ECDH | ECDSA | 3DES_EDE_CBC | 168 | SHA |
| 0x1302 | TLS_AES_256_GCM_SHA384 | - | - | AES_256_GCM | 256 | SHA384 |
| 0x1301 | TLS_AES_128_GCM_SHA256 | - | - | AES_128_GCM | 128 | SHA256 |
Terminologia
W poniższej tabeli stosowane są następujące terminy:
- ECDH — krzywa eliptyczna Diffiego-Hellmana
- DH — algorytm Diffiego-Hellmana
- RSA — algorytm Rivesta-Shamira-Adlemana
- ECDSA — algorytm podpisu cyfrowego przy użyciu krzywej eliptycznej
- AES — Advanced Encryption Standard
- GCM — tryb Galois/Counter Mode, tryb pracy dla szyfrów bloków kryptograficznych
- CBC — wiązanie bloków zaszyfrowanych
- 3DES — algorytm Triple Data Encryption (3DES)
- SHA — Secure Hashing Algorithm