Zugriff auf ArcGIS-Ressourcen über HTTPS nicht möglich, wenn Web Adaptor unter WebSphere bereitgestellt wird

Beschreibung

In ArcGIS 10.6.1 ist der Zugriff auf Ressourcen über HTTPS nicht möglich, wenn Web Adaptor unter WebSphere bereitgestellt wird. Das kann sich auf folgende Arten zeigen:

• Beim Konfigurieren von ArcGIS Server mit Java Web Adaptor wird auf der Benutzeroberfläche die folgende Fehlermeldung angezeigt:

Error: ArcGIS Server kann bei Web Adaptor nicht registriert werden. Stellen Sie sicher, dass der Servercomputer ausgeführt wird und das angegebene Konto über Administratorberechtigungen für die Site verfügt.

• Beim Konfigurieren von Portal for ArcGIS mit Java Web Adaptor wird auf der Benutzeroberfläche die folgende Fehlermeldung angezeigt:

Error: Portal kann bei Web Adaptor nicht registriert werden. Stellen Sie sicher, dass der Portal-Computer ausgeführt wird und das angegebene Konto über Administratorberechtigungen für das Portal verfügt.

• In den Protokollen von WebSphere Application Server wird folgende Fehlermeldung angezeigt:

Error: Token für Benutzer <Benutzername> kann nicht abgerufen werden. Fehler in Admin-Anforderung für Abruf von Computern. Schwerwiegender Fehler: handshake_failure.

Ursache

Ab ArcGIS 10.6.1 ist das SSL-Protokoll (Secure Socket Layer) TLSv1 standardmäßig sowohl für Portal for ArcGIS als auch für ArcGIS Server zur Einhaltung der Vorgaben der Zahlungskartenindustrie (Payment Card Industry, PCI) deaktiviert. Bei WebSphere wird standardmäßig SSL-TLS als SSL-Handshake-Protokoll verwendet, also SSLv3 und TLSv1. Daher werden HTTPS-Verbindungen zwischen Web Adaptor und ArcGIS Server bzw. Portal for ArcGIS beendet.

Hinweis: Ab ArcGIS Web Adaptor for Java 10.3 wird SSLv3 zur Vermeidung des Sicherheitsrisikos POODLE nicht mehr unterstützt.

Lösung oder Problemumgehung

Wenn Sie HTTPS mit ArcGIS Web Adaptor unter WebSphere verwenden möchten, aktualisieren Sie die WebSphere-Konfiguration, sodass SSL_TLSv2, also SSLv3 und TLSv1, TLSv1.1 und TLSv1.2, als SSL-Handshake-Protokoll verwendet wird.

Gehen Sie folgendermaßen vor:

1. Melden Sie sich bei der Integrated Solutions Console von WebSphere Application Server an.
2. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln. Klicken Sie anschließend unter Zugehörige Elemente auf SSL-Konfigurationen.
3. Klicken Sie auf NodeDefaultSSLSettings (Standard).
4. Klicken Sie unter Weitere Eigenschaften auf Einstellungen für Datenschutzniveau. Mit den Einstellungen für das Datenschutzniveau werden die Stärke der SSL-Verschlüsselung, die Integrität des Signaturgebers und die Authentizität des Zertifikats definiert.
5. Wählen Sie SSL_TLSv2 als SSL-Handshake-Protokoll aus.
6. Klicken Sie auf OK, und speichern Sie die Änderungen direkt in der Hauptkonfiguration.

Darüber hinaus muss WebSphere Java Virtual Machine aktualisiert werden, sodass mit den SSL-Protokollen TLSv1.1 und TLSv1.2 gestartet wird. Führen Sie dazu die folgenden Schritte aus.
 
In der WebSphere-Verwaltungskonsole:

1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver und dann auf server1, um ihn zu öffnen.
2. Klicken Sie unter Serverinfrastruktur auf Java- und Prozessverwaltung > Prozessdefinition.
3. Klicken Sie unter Weitere Eigenschaften auf Java Virtual Machine.
4. Geben Sie im Textfeld Generische JVM-Argumente -Dhttps.protocols=TLSv1.1,TLSv1.2 ein.
5. Klicken Sie auf Übernehmen, OK, und speichern Sie die Änderungen direkt in der Hauptkonfiguration.
6. Starten Sie den Anwendungsserver neu.

Hinweis: Die obige Lösung ist für Java Web Adaptor unter WebSphere 9 bestimmt. Weitere Informationen zur Sicherheitskonfiguration entsprechend den Anforderungen auf Organisationsebene finden Sie in der Dokumentation zu WebSphere.