Skip To Content

Ограничение протоколов SSL и наборов шифров

Как администратор портала вы можете выбрать, какие протоколы TLS и алгоритмы шифрования могут использоваться на внутреннем веб-сервере портала для безопасной передачи данных. Например, вашей организации могут требоваться определенные протоколы TLS и алгоритмы шифрования. Выбор использования на портале сертифицированных протоколов и алгоритмов гарантирует, что портал соответствует политике безопасности организации.

Протоколы TLS по умолчанию

По умолчанию, на портале настроено использование протоколов TLSv1.3 и TLSv1.2. Вы также можете включить протоколы TLSv1 и TLSv1.1, используя указанные ниже шаги.

Алгоритмы шифрования по умолчанию

На портале по умолчанию настроены следующие алгоритмы шифрования, в порядке, указанном ниже:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_AES_256_GCM_SHA384 (только TLSv1.3)
  • TLS_AES_128_GCM_SHA256 (только TLSv1.3)

В целях безопасности, некоторые алгоритмы шифрования, которые были по умолчанию включены в предыдущих версиях, отключены. Их можно повторно включить, если это необходимо для старых клиентов. См. полный список поддерживаемых алгоритмов в Справочнике по наборам шифров ниже.

Используйте ArcGIS Portal Directory для выбора протоколов TLS и алгоритмов шифрования на портале.

  1. Откройте ArcGIS Portal Directory и войдите в качестве администратора вашей организации.

    URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/portaladmin.

  2. Щелкните Безопасность > SSLCertificates > Обновить.
  3. В текстовом поле Протоколы SSL укажите протоколы, которые будут использоваться. Если выбирается несколько протоколов, укажите их через запятую, например TLSv1.2, TLSv1.1.
    Примечание:

    Убедитесь, что веб-сервер, на котором размещен Web Adaptor, настроен на работу с включаемыми протоколами. Если используется Java Web Adaptor, на веб-сервере с Web Adaptor необходимо использовать Java 8.

  4. В текстовом поле Наборы шифров укажите алгоритмы шифрования, которые будут использоваться. Если выбирается несколько алгоритмов, укажите их через запятую, например TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA.
  5. Щёлкните Обновить.

    Если указан недопустимый протокол или набор шифров, возвращается ошибка.

Справочник по наборам шифров

Портал поддерживает следующие алгоритмы:

ID шифраИмяОбмен ключамиАлгоритм аутентификацииАлгоритм шифрованияБитыАлгоритм хеширования
0x00C030TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384ECDHRSAAES_256_GCM256SHA384
0x00C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384ECDHRSA AES_256_CBC256 SHA384
0x00C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDHRSA AES_256_CBC256SHA
0x00009F TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 DHRSA AES_256_GCM256 SHA384
0x00006B TLS_DHE_RSA_WITH_AES_256_CBC_SHA256DHRSA AES_256_CBC256 SHA256
0x000039 TLS_DHE_RSA_WITH_AES_256_CBC_SHADHRSA AES_256_CBC256SHA
0x00009D TLS_RSA_WITH_AES_256_GCM_SHA384RSARSA AES_256_GCM256 SHA384
0x00003D TLS_RSA_WITH_AES_256_CBC_SHA256RSARSA AES_256_CBC256SHA256
0x000035 TLS_RSA_WITH_AES_256_CBC_SHARSARSA AES_256_CBC256SHA
0x00C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHRSA AES_128_GCM128SHA256
0x00C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDHRSA AES_128_CBC128SHA256
0x00C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAECDHRSA AES_128_CBC128SHA
0x00009E TLS_DHE_RSA_WITH_AES_128_GCM_SHA256DHRSA AES_128_GCM128SHA256
0x000067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256DHRSA AES_128_CBC128SHA256
0x000033 TLS_DHE_RSA_WITH_AES_128_CBC_SHADHRSA AES_128_CBC128SHA
0x00009C TLS_RSA_WITH_AES_128_GCM_SHA256RSARSA AES_128_GCM128SHA256
0x00003C TLS_RSA_WITH_AES_128_CBC_SHA256RSARSA AES_128_CBC128SHA256
0x00002F TLS_RSA_WITH_AES_128_CBC_SHARSARSA AES_128_CBC128SHA
0x00C012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA ECDHRSA 3DES_EDE_CBC168SHA
0x000016 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHADHRSA 3DES_EDE_CBC168SHA
0x00000A SSL_RSA_WITH_3DES_EDE_CBC_SHARSARSA 3DES_EDE_CBC168SHA
0x00C02CTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384ECDHECDSAAES_256_GCM256SHA384
0x00C024TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384ECDHECDSAAES_256_CBC256SHA384
0x00C00ATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHAECDHECDSAAES_256_CBC256SHA
0x00C02BTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256ECDHECDSAAES_128_GCM128SHA256
0x00C023TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256ECDHECDSAAES_128_CBC128SHA256
0x00C009TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHAECDHECDSAAES_128_CBC128SHA
0x00C008TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHAECDHECDSA3DES_EDE_CBC168SHA
0x1302 TLS_AES_256_GCM_SHA384-- AES_256_GCM256SHA384
0x1301 TLS_AES_128_GCM_SHA256-- AES_128_GCM128SHA256

Терминология

В приведенной выше таблице используются следующие термины:

  • ECDH – Elliptic-Curve Diffie-Hellman
  • DH – Diffie-Hellman
  • RSA – Rivest, Shamir, Adleman
  • ECDSA – алгоритм подписи Elliptic Curve Digital
  • AES – Advanced Encryption Standard
  • GCM – Galois/Counter Mode, – режим работы с блоками шифртекста
  • CBC – Cipher Block Chaining
  • 3DES – Triple Data Encryption Algorithm
  • SHA – Secure Hashing Algorithm