Skip To Content

限制 TLS 协议和密码套件

ArcGIS 11.4 (Windows)  | |  帮助归档

作为 ArcGIS Server 管理员,可以指定 ArcGIS Server 用于安全通信的传输层安全性 (TLS) 协议和加密算法。 您的组织可能需要使用特定的 TLS 协议和加密算法,或者您部署 ArcGIS Server 的 web 服务器可能只允许某些协议和算法。 指定 ArcGIS Server 使用认证协议和算法可确保站点遵照组织的安全策略。

根据 2014 年公布的 POODLE 漏洞,ArcGIS Server 10.3 及更高版本不再支持安全套接字层 (SSL) 协议,但您仍会看到软件中使用 SSL 来引用 TLS 协议。

TLS 协议

默认情况下,ArcGIS Server 仅使用 TLSv1.3TLSv1.2 SSL 协议。 您也可以使用以下步骤启用 TLSv1TLSv1.1 协议。

默认加密算法

ArcGIS Server 默认配置为按下面所列顺序使用以下加密算法:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_AES_256_GCM_SHA384(仅限 TLSv1.3
  • TLS_AES_128_GCM_SHA256(仅限 TLSv1.3

出于安全原因,在先前版本中默认启用的几种加密算法已被禁用。 如果更低版本客户端需要,它们可以启用。 有关支持算法完整列表的信息,请参阅下面的加密套件参考

使用 ArcGIS Server 管理员目录指定站点将要使用的 SSL 协议和加密算法。

  1. 打开 ArcGIS Server Administrator Directory,并以站点管理员的身份进行登录。

    URL 格式为 https://gisserver.example.com:6443/arcgis/admin

  2. 单击安全 > 配置 > 更新
  3. SSL 协议文本框中,指定要使用的协议。 如果指定了多个协议,请用逗号分隔每个协议,例如 TLSv1.2, TLSv1.1
    注:

    确保托管 Web Adaptor 的 Web 服务器可通过您启用的协议进行完全通信。

  4. 密码组合文本框中,以 IANA 格式指定要使用的密码组合。 请用逗号分隔每个算法,例如 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA
  5. 单击更新

    如果指定了无效的协议或密码套件,则会返回一个错误。

密码套件参考

ArcGIS Server 支持以下算法:

密码 ID名称(IANA 格式)名称(OpenSSL 格式)密钥交换验证算法加密算法散列算法
0xC030TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384ECDHRSAAES_256_GCM256SHA384
0xC028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDHE-RSA-AES256-SHA384ECDHRSA AES_256_CBC256 SHA384
0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDHE-RSA-AES256-SHA ECDHRSA AES_256_CBC256SHA
0x009F TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 DHE-RSA-AES256-GCM-SHA384 DHRSA AES_256_GCM256 SHA384
0x006B TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 DHE-RSA-AES256-SHA256DHRSA AES_256_CBC256 SHA256
0x0039 TLS_DHE_RSA_WITH_AES_256_CBC_SHA DHE-RSA-AES256-SHADHRSA AES_256_CBC256SHA
0x009D TLS_RSA_WITH_AES_256_GCM_SHA384 AES256-GCM-SHA384RSARSA AES_256_GCM256 SHA384
0x003D TLS_RSA_WITH_AES_256_CBC_SHA256 AES256-SHA256RSARSA AES_256_CBC256SHA256
0x0035 TLS_RSA_WITH_AES_256_CBC_SHA AES256-SHARSARSA AES_256_CBC256SHA
0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHRSA AES_128_GCM128SHA256
0xC027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDHE-RSA-AES128-SHA256 ECDHRSA AES_128_CBC128SHA256
0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDHE-RSA-AES128-SHAECDHRSA AES_128_CBC128SHA
0x009E TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 DHE-RSA-AES128-GCM-SHA256DHRSA AES_128_GCM128SHA256
0x0067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 DHE-RSA-AES128-SHA256DHRSA AES_128_CBC128SHA256
0x0033 TLS_DHE_RSA_WITH_AES_128_CBC_SHA DHE-RSA-AES128-SHADHRSA AES_128_CBC128SHA
0x009C TLS_RSA_WITH_AES_128_GCM_SHA256 AES128-GCM-SHA256RSARSA AES_128_GCM128SHA256
0x003C TLS_RSA_WITH_AES_128_CBC_SHA256 AES128-SHA256RSARSA AES_128_CBC128SHA256
0x002F TLS_RSA_WITH_AES_128_CBC_SHA AES128-SHARSARSA AES_128_CBC128SHA
0xC012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA ECDHE-RSA-DES-CBC3-SHA ECDHRSA 3DES_EDE_CBC168SHA
0x0016 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA EDH-RSA-DES-CBC3-SHADHRSA 3DES_EDE_CBC168SHA
0x000A SSL_RSA_WITH_3DES_EDE_CBC_SHA DES-CBC3-SHARSARSA 3DES_EDE_CBC168SHA
0xC02CTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 ECDHE-ECDSA-AES256-GCM-SHA384ECDHECDSAAES_256_GCM256SHA384
0xC024TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 ECDHE-ECDSA-AES256-SHA384ECDHECDSAAES_256_CBC256SHA384
0xC00ATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ECDHE-ECDSA-AES256-SHAECDHECDSAAES_256_CBC256SHA
0xC02BTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 ECDHE-ECDSA-AES128-GCM-SHA256ECDHECDSAAES_128_GCM128SHA256
0xC023TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 ECDHE-ECDSA-AES128-SHA256ECDHECDSAAES_128_CBC128SHA256
0xC009TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA ECDHE-ECDSA-AES128-SHAECDHECDSAAES_128_CBC128SHA
0xC008TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA ECDHE-ECDSA-DES-CBC3-SHAECDHECDSA3DES_EDE_CBC168SHA
0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 ECDHE-RSA-CHACHA20-POLY1305 ECDH RSA CHACHA20 POLY1305 256 SHA256
0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 ECDHE-ECDSA-CHACHA20-POLY1305 ECDH ECDSA CHACHA20 POLY1305 256 SHA256
0x1301 TLS_AES_128_GCM_SHA256 (TLSv1.3 only) TLS_AES_128_GCM_SHA256-- AES_128_GCM128SHA256
0x1302 TLS_AES_256_GCM_SHA384 (TLSv1.3 only) TLS_AES_256_GCM_SHA384-- AES_256_GCM256SHA384
0x1303 TLS_CHACHA20_POLY1305_SHA256 (TLSv1.3 only) TLS_CHACHA20_POLY1305_SHA256-- CHACHA20 POLY1305 256 SHA256

术语

上表中使用了以下术语:

  • ECDH - 椭圆曲线 Diffie-Hellman
  • DH—Diffie-Hellman
  • RSA—Rivest, Shamir, Adleman
  • ECDSA - 椭圆曲线数字签名算法
  • AES - 高级加密标准
  • GCM - Galois/计数器模式, 密码区块加密的操作模式
  • CBC - 密码块链接
  • 3DES - 三重数据加密算法
  • SHA - 安全散列算法
  • CHACHA20 - ChaCha 流加密算法
  • POLY1305 - Poly1305 身份验证器