Skip To Content

限制 TLS 协议和密码套件

作为 ArcGIS Server 管理员,可以指定 ArcGIS Server 用于安全通信的传输层安全性 (TLS) 协议和加密算法。 您的组织可能需要使用特定的 TLS 协议和加密算法,或者您部署 ArcGIS Server 的 web 服务器可能只允许某些协议和算法。 指定 ArcGIS Server 使用认证协议和算法可确保站点遵照组织的安全策略。

根据 2014 年公布的 POODLE 漏洞ArcGIS Server 10.3 及更高版本不再支持安全套接字层 (SSL) 协议,但您仍会看到软件中使用 SSL 来引用 TLS 协议。

TLS 协议

默认情况下,ArcGIS Server 仅使用 TLSv1.3TLSv1.2 SSL 协议。 您也可以使用以下步骤启用 TLSv1TLSv1.1 协议。

默认加密算法

ArcGIS Server 默认配置为按下面所列顺序使用以下加密算法:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_AES_256_GCM_SHA384(仅限 TLSv1.3
  • TLS_AES_128_GCM_SHA256(仅限 TLSv1.3

出于安全原因,在先前版本中默认启用的几种加密算法已被禁用。 如果更低版本客户端需要,它们可以启用。 有关支持算法完整列表的信息,请参阅下面的加密套件参考

使用 ArcGIS Server 管理员目录指定站点将要使用的 SSL 协议和加密算法。

  1. 打开 ArcGIS Server Administrator Directory,并以站点管理员的身份进行登录。

    URL 格式为 https://gisserver.domain.com:6443/arcgis/admin

  2. 单击安全 > 配置 > 更新
  3. SSL 协议文本框中,指定要使用的协议。 如果指定了多个协议,请用逗号分隔每个协议,例如 TLSv1.2, TLSv1.1
    注:

    确保托管 Web Adaptor 的 Web 服务器可通过您启用的协议进行完全通信。 如果您使用的是 Java Web Adaptor,则托管 Web Adaptor 的 Web 服务器必须使用 Java 8 或更高版本。

  4. 密码套件文本框中,指定要使用的加密算法。 如果指定了多个算法,请用逗号分隔每个算法,例如 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA
  5. 单击更新

    如果指定了无效的协议或密码套件,则会返回一个错误。

密码套件参考

ArcGIS Server 支持以下算法:

密码 IDName密钥交换验证算法加密算法散列算法
0x00C030TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384ECDHRSAAES_256_GCM256SHA384
0x00C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384ECDHRSA AES_256_CBC256 SHA384
0x00C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDHRSA AES_256_CBC256SHA
0x00009F TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 DHRSA AES_256_GCM256 SHA384
0x00006B TLS_DHE_RSA_WITH_AES_256_CBC_SHA256DHRSA AES_256_CBC256 SHA256
0x000039 TLS_DHE_RSA_WITH_AES_256_CBC_SHADHRSA AES_256_CBC256SHA
0x00009D TLS_RSA_WITH_AES_256_GCM_SHA384RSARSA AES_256_GCM256 SHA384
0x00003D TLS_RSA_WITH_AES_256_CBC_SHA256RSARSA AES_256_CBC256SHA256
0x000035 TLS_RSA_WITH_AES_256_CBC_SHARSARSA AES_256_CBC256SHA
0x00C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHRSA AES_128_GCM128SHA256
0x00C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDHRSA AES_128_CBC128SHA256
0x00C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAECDHRSA AES_128_CBC128SHA
0x00009E TLS_DHE_RSA_WITH_AES_128_GCM_SHA256DHRSA AES_128_GCM128SHA256
0x000067 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256DHRSA AES_128_CBC128SHA256
0x000033 TLS_DHE_RSA_WITH_AES_128_CBC_SHADHRSA AES_128_CBC128SHA
0x00009C TLS_RSA_WITH_AES_128_GCM_SHA256RSARSA AES_128_GCM128SHA256
0x00003C TLS_RSA_WITH_AES_128_CBC_SHA256RSARSA AES_128_CBC128SHA256
0x00002F TLS_RSA_WITH_AES_128_CBC_SHARSARSA AES_128_CBC128SHA
0x00C012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA ECDHRSA 3DES_EDE_CBC168SHA
0x000016 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHADHRSA 3DES_EDE_CBC168SHA
0x00000A SSL_RSA_WITH_3DES_EDE_CBC_SHARSARSA 3DES_EDE_CBC168SHA
0x00C02CTLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384ECDHECDSAAES_256_GCM256SHA384
0x00C024TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384ECDHECDSAAES_256_CBC256SHA384
0x00C00ATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHAECDHECDSAAES_256_CBC256SHA
0x00C02BTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256ECDHECDSAAES_128_GCM128SHA256
0x00C023TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256ECDHECDSAAES_128_CBC128SHA256
0x00C009TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHAECDHECDSAAES_128_CBC128SHA
0x00C008TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHAECDHECDSA3DES_EDE_CBC168SHA
0x1302 TLS_AES_256_GCM_SHA384-- AES_256_GCM256SHA384
0x1301 TLS_AES_128_GCM_SHA256-- AES_128_GCM128SHA256

术语

上表中使用了以下术语:

  • ECDH - 椭圆曲线 Diffie-Hellman
  • DH—Diffie-Hellman
  • RSA—Rivest, Shamir, Adleman
  • ECDSA - 椭圆曲线数字签名算法
  • AES - 高级加密标准
  • GCM - Galois/计数器模式, 密码区块加密的操作模式
  • CBC - 密码块链接
  • 3DES - 三重数据加密算法
  • SHA - 安全散列算法