Welche Auswirkungen auf das ArcObjects SDK für die Microsoft .NET Framework- und ArcGIS Engine .NET-Client-Anwendungen hat die Umstellung auf reine TLS-1.2-Verbindungen?

Antwort

Laut Planung von Esri sind ab dem 16. April 2019 TLS-1.2-Verbindungen für ArcGIS Online-Services erforderlich. Wenn reine TLS-1.2-Verbindungen zu ArcGIS Online-Ressourcen verwendet werden, sind beim Ausführen eines vorhandenen oder Erstellen eines neuen ArcObjects SDK für die Microsoft .NET Framework-Anwendungen (einschließlich ArcGIS Engine for .NET) bestimmte Aspekte zu berücksichtigen. Da in 10.7 die Desktop-Software bereits für die Verwendung von TLS 1.2 konfiguriert ist, ist keine Aktion erforderlich, um TLS 1.2 zu aktivieren.

Wenn in Ihren mit älterem ArcObjects .NET erstellten Client-Anwendungen (einschließlich Engine-Anwendungen), die eingehende Verbindungen zu ArcGIS verwenden, TLS 1.2 nach dem Wechsel zu reinen TLS-1.2-Verbindungen nicht aktiviert ist, können in Ihren Integrationen Unterbrechungen auftreten.

An ArcObjects .NET- und Engine-Anwendungen, die mit .NET-Versionen vor 4.6 erstellt wurden, können die folgenden Änderungen vorgenommen werden:

1. Kompilieren Sie die Anwendung mit .NET Framework 4.6 oder höher neu, um TLS 1.2 zu aktivieren, da 4.6 standardmäßig mit TLS 1.2 kompatibel ist (der Code muss nicht geändert werden).
2. .NET-Anwendungen bei 4.5.x unterstützen das Protokoll TLS 1.2 zwar, aber nicht standardmäßig, selbst wenn die Betriebssystemumgebung auf TLS 1.2 festgelegt ist. Dazu muss der Code geändert werden. Die entsprechende Erläuterung finden Sie auf Seite 9 unter "ArcGIS Platform SSL/TLS Support and Configuration Briefing". Im Hinweis weiter unten finden Sie ein Beispiel dafür, wie dieser Wert in der Anwendung festgelegt wird.
3. .NET-Anwendungen bei 4.0 aktivieren TLS 1.2 standardmäßig nicht. Damit TLS 1.2 standardmäßig aktiviert wird, ist es möglich, .NET Framework 4.5 oder höher zu installieren und in den folgenden zwei Registrierungsschlüsseln (die erstellt werden, wenn sie noch nicht vorhanden sind) den DWORD-Wert "SchUseStrongCrypto" auf 1 festzulegen:
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 und
   • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework \v4.0.30319
     Diese Registrierungsschlüssel aktivieren jedoch möglicherweise TLS 1.2 standardmäßig in allen installierten .NET 4.0-, 4.5-, 4.5.1- und 4.5.2-Anwendungen auf diesem System. Wir empfehlen, diese Änderung vor der Implementierung auf Ihren Produktionsservern zu testen. Auf .NET-Anwendungen, in denen der Wert von System.Net.ServicePointManager.SecurityProtocol festgelegt wird, haben diese Registrierungswerte jedoch keine Auswirkungen.

Hinweis:
.NET-Anwendungen können TLS 1.2 direkt aktivieren, indem System.Net.ServicePointManager.SecurityProtocol festgelegt wird, um SecurityProtocolType.Tls12 zu aktivieren, wie im folgenden Beispiel dargestellt.

Beispiel (C#):
System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;

Weitere Ressourcen für den Übergang zu TLS 1.2 für die Esri Plattform finden Sie auf den Seiten unter Wichtige Aktualisierungen für die ArcGIS Plattform und die Unterstützung des TLS-Protokolls (Transport Layer Security). Dort finden Sie Referenzen zu Microsoft-Entwicklerdokumenten und zum Esri Team für Produktsicherheit.

HTTP
Hinsichtlich der Verwendung von HTTP in älteren Anwendungen sollten Sie beachten, dass mit einem zukünftigen Sicherheitsupdate für ArcGIS Online alle Organisationen reine HTTPS-Verbindungen verwenden müssen, da dies branchenweit zum Standard wird.

In ArcObjects .NET-Anwendungen, die zuvor mit HTTP funktioniert haben, können mit HTTPS Zertifikatfehler auftreten, weil in den Zertifikatspeichern der Client-Computer die relevanten Zertifikate nicht vorhanden sind. Die Client-Computer müssen deshalb entsprechend konfiguriert werden (indem zum Beispiel die relevanten Zertifikate zu den Zertifikatspeichern hinzugefügt werden). Für das Testen und die Entwicklung können Test-Serverzertifikate erstellt werden. Damit können die Entwickler ihren Client-Code an einem Testserver, der nur HTTPS unterstützt, testen, ohne ein Zertifikat von einer Zertifizierungsstelle (CA) anzufordern. Dies gilt in der Regel für Intranet-Szenarien.

Weitere Informationen zu TLS 1.2 finden Sie im vom technischen Support von Esri erstellten Dokument Wichtige Aktualisierungen für die ArcGIS Plattform und die Unterstützung des TLS-Protokolls (Transport Layer Security).