Skip To Content

Запрет протоколов SSL и наборов шифров

Как администратор ArcGIS Server вы можете задать протоколы SSL и алгоритмы шифрования, которые будет использовать ArcGIS Server для безопасной передачи данных. Например, вашей организации могут требоваться определенные протоколы SSL и алгоритмы шифрования. Выбор использования в ArcGIS Server сертифицированных протоколов и алгоритмов гарантирует, что ваш сайт будет соответствовать политике безопасности организации.

Протоколы SSL по умолчанию

По умолчанию в ArcGIS Server включены следующие протоколы:

  • TLSv1
  • TLSv1.1
  • TLSv1.2

Алгоритмы шифрования по умолчанию

В ArcGIS Server используются следующие алгоритмы шифрования, включенные по умолчанию:

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

Дополнительные сведения об этих алгоритмах шифрования см. в разделе Справочник по наборам шифров.

Для выбора протоколов SSL и алгоритмов шифрования на сайте используется ArcGIS Server Administrator Directory.

  1. Откройте ArcGIS Server Administrator Directory и войдите в качестве администратора сайта. URL-адрес имеет вид https://gisserver.domain.com:6443/arcgis/admin.
  2. Щелкните Безопасность > Конфигурация > Обновить.
  3. В текстовом поле Протоколы SSL укажите протоколы, которые будут использоваться. Если выбирается несколько протоколов, укажите их через запятую. Например: TLSv1.2, TLSv1.1.

    Помните, что если планируется отключить TLSv1 от сайта, необходимо убедиться, что веб-сервер, на котором находится Web Adaptor, может в полной мере работать через TLSv1.1 или TLSv1.2. Если используется Java Web Adaptor, на веб-сервере с Web Adaptor необходимо использовать Java 8.

  4. В текстовом поле Наборы шифров укажите алгоритмы шифрования, которые будут использоваться. Если выбирается несколько алгоритмов, укажите их через запятую. Например: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA.
  5. Щелкните Обновить. Если указан недопустимый протокол или набор шифров, возвращается ошибка.

Справочник по наборам шифров

ID шифраИмяОбмен ключамиАлгоритм аутентификацииАлгоритм шифрованияБитыАлгоритм хеширования
0x00C02FTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256ECDHERSAAES_128_GCM

128

SHA256
0x00C027TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256ECDHERSAAES_128_CBC

128

SHA256
0x00C013TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAECDHERSAAES_128_CBC

128

SHA
0x00C012TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHAECDHERSA3DES_EDE_CBC

168

SHA
0x00009CTLS_RSA_WITH_AES_128_GCM_SHA256RSARSAAES_128_GCM

128

SHA256
0x00003CTLS_RSA_WITH_AES_128_CBC_SHA256RSARSAAES_128_CBC

128

SHA256
0x00002FTLS_RSA_WITH_AES_128_CBC_SHARSARSAAES_128_CBC

128

SHA
0x00000ATLS_RSA_WITH_3DES_EDE_CBC_SHARSARSA3DES_EDE_CBC

168

SHA

Терминология

  • ECDHE – Elliptic-Curve Diffie-Hellman
  • RSA – Rivest, Shamir, Adleman
  • AES – Advanced Encryption Standard
  • GCM – Galois/Counter Mode (режим А работы с блоками шифртекста)
  • CBC – Cipher Block Chaining
  • 3DES – Triple Data Encryption Algorithm
  • SHA – Secure Hashing Algorithm