Как администратор ArcGIS Server вы можете задать протоколы SSL и алгоритмы шифрования, которые будет использовать ArcGIS Server для безопасной передачи данных. Например, вашей организации могут требоваться определенные протоколы SSL и алгоритмы шифрования. Выбор использования в ArcGIS Server сертифицированных протоколов и алгоритмов гарантирует, что ваш сайт будет соответствовать политике безопасности организации.
Протоколы SSL по умолчанию
По умолчанию в ArcGIS Server включены следующие протоколы:
- TLSv1
- TLSv1.1
- TLSv1.2
Алгоритмы шифрования по умолчанию
В ArcGIS Server используются следующие алгоритмы шифрования, включенные по умолчанию:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
Дополнительные сведения об этих алгоритмах шифрования см. в разделе Справочник по наборам шифров.
Для выбора протоколов SSL и алгоритмов шифрования на сайте используется ArcGIS Server Administrator Directory.
- Откройте ArcGIS Server Administrator Directory и войдите в качестве администратора сайта. URL-адрес имеет вид https://gisserver.domain.com:6443/arcgis/admin.
- Щелкните Безопасность > Конфигурация > Обновить.
- В текстовом поле Протоколы SSL укажите протоколы, которые будут использоваться. Если выбирается несколько протоколов, укажите их через запятую. Например: TLSv1.2, TLSv1.1.
Помните, что если планируется отключить TLSv1 от сайта, необходимо убедиться, что веб-сервер, на котором находится Web Adaptor, может в полной мере работать через TLSv1.1 или TLSv1.2. Если используется Java Web Adaptor, на веб-сервере с Web Adaptor необходимо использовать Java 8.
- В текстовом поле Наборы шифров укажите алгоритмы шифрования, которые будут использоваться. Если выбирается несколько алгоритмов, укажите их через запятую. Например: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA.
- Щелкните Обновить. Если указан недопустимый протокол или набор шифров, возвращается ошибка.
Справочник по наборам шифров
| ID шифра | Имя | Обмен ключами | Алгоритм аутентификации | Алгоритм шифрования | Биты | Алгоритм хеширования |
|---|---|---|---|---|---|---|
| 0x00C02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDHE | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDHE | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDHE | RSA | AES_128_CBC | 128 | SHA |
| 0x00C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDHE | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x00009C | TLS_RSA_WITH_AES_128_GCM_SHA256 | RSA | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00003C | TLS_RSA_WITH_AES_128_CBC_SHA256 | RSA | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00002F | TLS_RSA_WITH_AES_128_CBC_SHA | RSA | RSA | AES_128_CBC | 128 | SHA |
| 0x00000A | TLS_RSA_WITH_3DES_EDE_CBC_SHA | RSA | RSA | 3DES_EDE_CBC | 168 | SHA |
Терминология
- ECDHE – Elliptic-Curve Diffie-Hellman
- RSA – Rivest, Shamir, Adleman
- AES – Advanced Encryption Standard
- GCM – Galois/Counter Mode (режим А работы с блоками шифртекста)
- CBC – Cipher Block Chaining
- 3DES – Triple Data Encryption Algorithm
- SHA – Secure Hashing Algorithm