Как администратор портала вы можете выбрать, какие протоколы TLS и алгоритмы шифрования могут использоваться на внутреннем веб-сервере портала для безопасной передачи данных. Например, вашей организации могут требоваться определенные протоколы TLS и алгоритмы шифрования. Выбор использования на портале сертифицированных протоколов и алгоритмов гарантирует, что портал соответствует политике безопасности организации.
Протоколы TLS по умолчанию
По умолчанию, на портале настроено использование протоколов TLSv1.3 и TLSv1.2. Вы также можете включить протоколы TLSv1 и TLSv1.1, используя указанные ниже шаги.
Алгоритмы шифрования по умолчанию
На портале по умолчанию настроены следующие алгоритмы шифрования, в порядке, указанном ниже:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_AES_256_GCM_SHA384 (только TLSv1.3)
- TLS_AES_128_GCM_SHA256 (только TLSv1.3)
В целях безопасности, некоторые алгоритмы шифрования, которые были по умолчанию включены в предыдущих версиях, отключены. Их можно повторно включить, если это необходимо для старых клиентов. См. полный список поддерживаемых алгоритмов в Справочнике по наборам шифров ниже.
Используйте ArcGIS Portal Directory для выбора протоколов TLS и алгоритмов шифрования на портале.
- Откройте ArcGIS Portal Directory и войдите в качестве администратора вашей организации.
URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Щелкните Безопасность > SSLCertificates > Обновить.
- В текстовом поле Протоколы SSL укажите протоколы, которые будут использоваться. Если выбирается несколько протоколов, укажите их через запятую, например TLSv1.2, TLSv1.1.
Примечание:
Убедитесь, что веб-сервер, на котором размещен Web Adaptor, настроен на работу с включаемыми протоколами. Если используется Java Web Adaptor, на веб-сервере с Web Adaptor необходимо использовать Java 8.
- В текстовом поле Наборы шифров укажите алгоритмы шифрования, которые будут использоваться. Если выбирается несколько алгоритмов, укажите их через запятую, например TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
- Щёлкните Обновить.
Если указан недопустимый протокол или набор шифров, возвращается ошибка.
Справочник по наборам шифров
Портал поддерживает следующие алгоритмы:
| ID шифра | Имя | Обмен ключами | Алгоритм аутентификации | Алгоритм шифрования | Биты | Алгоритм хеширования |
|---|---|---|---|---|---|---|
| 0x00C030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDH | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00C028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDH | RSA | AES_256_CBC | 256 | SHA384 |
| 0x00C014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDH | RSA | AES_256_CBC | 256 | SHA |
| 0x00009F | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | DH | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00006B | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | DH | RSA | AES_256_CBC | 256 | SHA256 |
| 0x000039 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | DH | RSA | AES_256_CBC | 256 | SHA |
| 0x00009D | TLS_RSA_WITH_AES_256_GCM_SHA384 | RSA | RSA | AES_256_GCM | 256 | SHA384 |
| 0x00003D | TLS_RSA_WITH_AES_256_CBC_SHA256 | RSA | RSA | AES_256_CBC | 256 | SHA256 |
| 0x000035 | TLS_RSA_WITH_AES_256_CBC_SHA | RSA | RSA | AES_256_CBC | 256 | SHA |
| 0x00C02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDH | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDH | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDH | RSA | AES_128_CBC | 128 | SHA |
| 0x00009E | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | DH | RSA | AES_128_GCM | 128 | SHA256 |
| 0x000067 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | DH | RSA | AES_128_CBC | 128 | SHA256 |
| 0x000033 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | DH | RSA | AES_128_CBC | 128 | SHA |
| 0x00009C | TLS_RSA_WITH_AES_128_GCM_SHA256 | RSA | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00003C | TLS_RSA_WITH_AES_128_CBC_SHA256 | RSA | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00002F | TLS_RSA_WITH_AES_128_CBC_SHA | RSA | RSA | AES_128_CBC | 128 | SHA |
| 0x00C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDH | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x000016 | SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA | DH | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x00000A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | RSA | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x00C02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ECDH | ECDSA | AES_256_GCM | 256 | SHA384 |
| 0x00C024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ECDH | ECDSA | AES_256_CBC | 256 | SHA384 |
| 0x00C00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ECDH | ECDSA | AES_256_CBC | 256 | SHA |
| 0x00C02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ECDH | ECDSA | AES_128_GCM | 128 | SHA256 |
| 0x00C023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ECDH | ECDSA | AES_128_CBC | 128 | SHA256 |
| 0x00C009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ECDH | ECDSA | AES_128_CBC | 128 | SHA |
| 0x00C008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | ECDH | ECDSA | 3DES_EDE_CBC | 168 | SHA |
| 0x1302 | TLS_AES_256_GCM_SHA384 | - | - | AES_256_GCM | 256 | SHA384 |
| 0x1301 | TLS_AES_128_GCM_SHA256 | - | - | AES_128_GCM | 128 | SHA256 |
Терминология
В приведенной выше таблице используются следующие термины:
- ECDH – Elliptic-Curve Diffie-Hellman
- DH – Diffie-Hellman
- RSA – Rivest, Shamir, Adleman
- ECDSA – алгоритм подписи Elliptic Curve Digital
- AES – Advanced Encryption Standard
- GCM – Galois/Counter Mode, – режим работы с блоками шифртекста
- CBC – Cipher Block Chaining
- 3DES – Triple Data Encryption Algorithm
- SHA – Secure Hashing Algorithm