作为 ArcGIS Server 管理员,可以指定 ArcGIS Server 用于安全通信的传输层安全性 (TLS) 协议和加密算法。 您的组织可能需要使用特定的 TLS 协议和加密算法,或者您部署 ArcGIS Server 的 web 服务器可能只允许某些协议和算法。 指定 ArcGIS Server 使用认证协议和算法可确保站点遵照组织的安全策略。
根据 2014 年公布的 POODLE 漏洞,ArcGIS Server 10.3 及更高版本不再支持安全套接字层 (SSL) 协议,但您仍会看到软件中使用 SSL 来引用 TLS 协议。
TLS 协议
默认情况下,ArcGIS Server 仅使用 TLSv1.3 和 TLSv1.2 SSL 协议。 您也可以使用以下步骤启用 TLSv1 和 TLSv1.1 协议。
默认加密算法
ArcGIS Server 默认配置为按下面所列顺序使用以下加密算法:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- TLS_AES_256_GCM_SHA384(仅限 TLSv1.3)
- TLS_AES_128_GCM_SHA256(仅限 TLSv1.3)
出于安全原因,在先前版本中默认启用的几种加密算法已被禁用。 如果更低版本客户端需要,它们可以启用。 有关支持算法完整列表的信息,请参阅下面的加密套件参考。
使用 ArcGIS Server 管理员目录指定站点将要使用的 SSL 协议和加密算法。
- 打开 ArcGIS Server Administrator Directory,并以站点管理员的身份进行登录。
URL 格式为 https://gisserver.example.com:6443/arcgis/admin。
- 单击安全 > 配置 > 更新。
- 在 SSL 协议文本框中,指定要使用的协议。 如果指定了多个协议,请用逗号分隔每个协议,例如 TLSv1.2, TLSv1.1。
注:
确保托管 Web Adaptor 的 Web 服务器可通过您启用的协议进行完全通信。
- 在密码组合文本框中,以 IANA 格式指定要使用的密码组合。 请用逗号分隔每个算法,例如 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA。
- 单击更新。
如果指定了无效的协议或密码套件,则会返回一个错误。
密码套件参考
ArcGIS Server 支持以下算法:
密码 ID | 名称(IANA 格式) | 名称(OpenSSL 格式) | 密钥交换 | 验证算法 | 加密算法 | 位 | 散列算法 |
---|---|---|---|---|---|---|---|
0xC030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDHE-RSA-AES256-GCM-SHA384 | ECDH | RSA | AES_256_GCM | 256 | SHA384 |
0xC028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDHE-RSA-AES256-SHA384 | ECDH | RSA | AES_256_CBC | 256 | SHA384 |
0xC014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDHE-RSA-AES256-SHA | ECDH | RSA | AES_256_CBC | 256 | SHA |
0x009F | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | DHE-RSA-AES256-GCM-SHA384 | DH | RSA | AES_256_GCM | 256 | SHA384 |
0x006B | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | DHE-RSA-AES256-SHA256 | DH | RSA | AES_256_CBC | 256 | SHA256 |
0x0039 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | DHE-RSA-AES256-SHA | DH | RSA | AES_256_CBC | 256 | SHA |
0x009D | TLS_RSA_WITH_AES_256_GCM_SHA384 | AES256-GCM-SHA384 | RSA | RSA | AES_256_GCM | 256 | SHA384 |
0x003D | TLS_RSA_WITH_AES_256_CBC_SHA256 | AES256-SHA256 | RSA | RSA | AES_256_CBC | 256 | SHA256 |
0x0035 | TLS_RSA_WITH_AES_256_CBC_SHA | AES256-SHA | RSA | RSA | AES_256_CBC | 256 | SHA |
0xC02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDHE-RSA-AES128-GCM-SHA256 | ECDH | RSA | AES_128_GCM | 128 | SHA256 |
0xC027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDHE-RSA-AES128-SHA256 | ECDH | RSA | AES_128_CBC | 128 | SHA256 |
0xC013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDHE-RSA-AES128-SHA | ECDH | RSA | AES_128_CBC | 128 | SHA |
0x009E | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | DHE-RSA-AES128-GCM-SHA256 | DH | RSA | AES_128_GCM | 128 | SHA256 |
0x0067 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | DHE-RSA-AES128-SHA256 | DH | RSA | AES_128_CBC | 128 | SHA256 |
0x0033 | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | DHE-RSA-AES128-SHA | DH | RSA | AES_128_CBC | 128 | SHA |
0x009C | TLS_RSA_WITH_AES_128_GCM_SHA256 | AES128-GCM-SHA256 | RSA | RSA | AES_128_GCM | 128 | SHA256 |
0x003C | TLS_RSA_WITH_AES_128_CBC_SHA256 | AES128-SHA256 | RSA | RSA | AES_128_CBC | 128 | SHA256 |
0x002F | TLS_RSA_WITH_AES_128_CBC_SHA | AES128-SHA | RSA | RSA | AES_128_CBC | 128 | SHA |
0xC012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | ECDHE-RSA-DES-CBC3-SHA | ECDH | RSA | 3DES_EDE_CBC | 168 | SHA |
0x0016 | SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA | EDH-RSA-DES-CBC3-SHA | DH | RSA | 3DES_EDE_CBC | 168 | SHA |
0x000A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | DES-CBC3-SHA | RSA | RSA | 3DES_EDE_CBC | 168 | SHA |
0xC02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | ECDHE-ECDSA-AES256-GCM-SHA384 | ECDH | ECDSA | AES_256_GCM | 256 | SHA384 |
0xC024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | ECDHE-ECDSA-AES256-SHA384 | ECDH | ECDSA | AES_256_CBC | 256 | SHA384 |
0xC00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | ECDHE-ECDSA-AES256-SHA | ECDH | ECDSA | AES_256_CBC | 256 | SHA |
0xC02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | ECDHE-ECDSA-AES128-GCM-SHA256 | ECDH | ECDSA | AES_128_GCM | 128 | SHA256 |
0xC023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | ECDHE-ECDSA-AES128-SHA256 | ECDH | ECDSA | AES_128_CBC | 128 | SHA256 |
0xC009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | ECDHE-ECDSA-AES128-SHA | ECDH | ECDSA | AES_128_CBC | 128 | SHA |
0xC008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | ECDHE-ECDSA-DES-CBC3-SHA | ECDH | ECDSA | 3DES_EDE_CBC | 168 | SHA |
0xCCA8 | TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 | ECDHE-RSA-CHACHA20-POLY1305 | ECDH | RSA | CHACHA20 POLY1305 | 256 | SHA256 |
0xCCA9 | TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 | ECDHE-ECDSA-CHACHA20-POLY1305 | ECDH | ECDSA | CHACHA20 POLY1305 | 256 | SHA256 |
0x1301 | TLS_AES_128_GCM_SHA256 (TLSv1.3 only) | TLS_AES_128_GCM_SHA256 | - | - | AES_128_GCM | 128 | SHA256 |
0x1302 | TLS_AES_256_GCM_SHA384 (TLSv1.3 only) | TLS_AES_256_GCM_SHA384 | - | - | AES_256_GCM | 256 | SHA384 |
0x1303 | TLS_CHACHA20_POLY1305_SHA256 (TLSv1.3 only) | TLS_CHACHA20_POLY1305_SHA256 | - | - | CHACHA20 POLY1305 | 256 | SHA256 |
术语
上表中使用了以下术语:
- ECDH - 椭圆曲线 Diffie-Hellman
- DH—Diffie-Hellman
- RSA—Rivest, Shamir, Adleman
- ECDSA - 椭圆曲线数字签名算法
- AES - 高级加密标准
- GCM - Galois/计数器模式, 密码区块加密的操作模式
- CBC - 密码块链接
- 3DES - 三重数据加密算法
- SHA - 安全散列算法
- CHACHA20 - ChaCha 流加密算法
- POLY1305 - Poly1305 身份验证器