作为门户管理员,您可指定门户内部 web 服务器用来保护通信安全的安全套接字层 (SSL) 协议和加密算法。例如,组织可能需要使用特定的 SSL 协议和加密算法。将门户指定为使用认证的协议和算法可确保您的门户始终遵从组织的安全策略。
默认 SSL 协议
默认情况下,门户启用以下协议:
- TLSv1
- TLSv1.1
- TLSv1.2
默认加密算法
门户仅限于以下加密算法,且默认情况下全部处于启用状态:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
有关这些加密算法的详细信息,请参阅下面的加密套件参考。
将通过 ArcGIS Portal Directory 指定门户要使用的 SSL 协议和加密算法。
- 打开 ArcGIS 门户目录,并以组织管理员的身份进行登录。URL 格式为 https://webadaptor.domain.com/arcgis/portaladmin。
- 单击安全性 > SSLCertificates > 更新。
- 在 SSL 协议文本框中,指定要使用的协议。如果要指定多个协议,请用逗号分隔每个协议。例如:TLSv1.2, TLSv1.1。
请注意,如果您计划从门户中禁用 TLSv1,您需要确保托管 Web Adaptor 的 web 服务器能够通过 TLSv1.1 或 TLSv1.2 进行完整通信。如果您使用的是 Java Web Adaptor,则托管 Web Adaptor 的 web 服务器必须使用 Java 8。
- 在加密套件文本框中,指定要使用的加密算法。如果要指定多个算法,请用逗号分隔每个算法。例如:TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA。
- 单击更新。如果指定了无效的协议或加密套件,则会返回一个错误。
加密套件参考
| 加密 ID | Name | 密钥交换 | 身份验证算法 | 加密算法 | 位 | 散列算法 |
|---|---|---|---|---|---|---|
| 0x00C02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDHE | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDHE | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDHE | RSA | AES_128_CBC | 128 | SHA |
| 0x00C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDHE | RSA | 3DES_EDE_CBC | 168 | SHA |
| 0x00009C | TLS_RSA_WITH_AES_128_GCM_SHA256 | RSA | RSA | AES_128_GCM | 128 | SHA256 |
| 0x00003C | TLS_RSA_WITH_AES_128_CBC_SHA256 | RSA | RSA | AES_128_CBC | 128 | SHA256 |
| 0x00002F | TLS_RSA_WITH_AES_128_CBC_SHA | RSA | RSA | AES_128_CBC | 128 | SHA |
| 0x00000A | TLS_RSA_WITH_3DES_EDE_CBC_SHA | RSA | RSA | 3DES_EDE_CBC | 168 | SHA |
术语
- ECDHE - 椭圆曲线 Diffie-Hellman 密钥交换
- RSA - Rivest、Shamir、Adleman
- AES - 高级加密标准
- GCM - Galois/计数器模式 - 密码区块加密的操作模式
- CBC - 密码块链接
- 3DES - 三重数据加密算法
- SHA - 安全散列算法