Configurar HTTPS con un certificado nuevo firmado por una autoridad certificadora—Administración de ArcGIS Server (Linux)

En este tema se muestra cómo se puede configurar HTTPS para ArcGIS Server con un certificado firmado por una Autoridad certificadora (CA). Los pasos para configurar HTTPS mediante un certificado emitido por una Autoridad certificadora son los siguientes:

Crear un nuevo certificado autofirmado

Inicie sesión en el Directorio del administrador de ArcGIS Server en https://gisserver.domain.com:6443/arcgis/admin.
Acceda a máquinas > [nombre del equipo] > sslcertificates.
Haga clic en generar.

Proporcione valores para los parámetros en esta página:

Opción	Descripción
Alias	Un nombre único que identifica fácilmente el certificado.
Algoritmo de clave	Utilizar RSA (el valor predeterminado) o DSA.
Tamaño de clave	Especifica el tamaño en bits para utilizar cuando se generan las claves criptográficas que se utilizan para crear el certificado. Cuanto mayor sea el tamaño de la clave, más difícil será descifrarla; sin embargo, el tiempo para descifrar datos cifrados aumenta con el tamaño de la clave. Para DSA, el tamaño de la clave puede estar comprendido entre 512 y 1.024. Para RSA, el tamaño recomendado para la clave es 2.048 o superior.
Algoritmo de firma	Use la opción predeterminada (SHA256withRSA). Si su organización tiene restricciones de seguridad específicas, puede usar uno de los siguientes algoritmos para DSA: SHA384withRSA, SHA512withRSA, SHA1withRSA, SHA1withDSA.
Nombre común	Este campo es opcional y se utiliza para tener compatibilidad con versiones anteriores de navegadores web y software. Se recomienda usar el nombre de dominio completo del nombre del servidor como nombre común. Si se va a acceder a su servidor en Internet a través de la dirección URL https://www.gisserver.com:6443/arcgis/, use www.gisserver.com como nombre común. Si a su servidor solo se va a acceder desde la red de área local (LAN) a través de la dirección URL https://gisserver.domain.com:6443/arcgis, utilice gisserver.domain.com como nombre común.
Unidad organizacional	El nombre de su unidad organizacional, por ejemplo, Departamento de SIG.
Organización	El nombre de su organización, por ejemplo, Esri.
Ciudad o localidad	El nombre de la ciudad o localidad, por ejemplo, Redlands.
Estado o provincia	El nombre completo de su estado o provincia, por ejemplo, California.
Código de país	El código abreviado de su país, por ejemplo, US.
Validez	El tiempo total en días durante el cual este certificado será válido, por ejemplo, 365.
Nombre alternativo de sujeto	El nombre alternativo de sujeto (SAN) se usa para validar que el certificado SSL presentado por el sitio web al que se accede fue emitido por ese sitio web. Si no se ha definido ningún SAN, algunos navegadores web pueden tratar de validar el certificado SSL usando el parámetro del nombre común (CN) y otros navegadores web pueden mostrar un error diciendo que el certificado SSL presentado por el sitio web no se ha podido validar. El campo SAN admite varios valores. No obstante, debe incluir el nombre de dominio completo del sitio web. El valor del parámetro SAN no puede contener espacios. Por ejemplo, si se va a acceder a su servidor principalmente usando la dirección URL https://www.esri.com, el parámetro SAN debe establecerse en DNS:www.esri.com. Si se va acceder al servidor en una conexión de Internet pública usando la dirección URL https://www.esri.com y dentro de la red de área local (LAN) de su organización usando la URL https://gisserver.esri.com, el parámetro SAN debe estar establecido en DNS:www.esri.com,DNS:gisserver.esri.com. Aunque se admite, no se recomienda el uso de comodines (*.esri.com) en el parámetro SAN. Cuando se use el mismo certificado para varios sitios web o subdominios, enumere cada sitio web o subdominio en el parámetro SAN, como se muestra en el ejemplo siguiente: Ejemplo: DNS:www.esri.com,DNS:esri.com,DNS:www.esri.ch,DNS:www.esri.rw,DNS:www.esri.de,DNS:maps.esri.com,DNS:support.esri.com,DNS:pro.arcgis.com.

Haga clic en Generar para generar el certificado.

Solicitar a una autoridad certificadora que firme su certificado

Para que los navegadores web acepten su certificado como un certificado de confianza, este debe ser verificado y corroborado por una Autoridad de certificación bien conocida, como Verisign o Thawte.

Abra el certificado autofirmado que ha creado en la sección anterior y haga clic en generateCSR. Copie el contenido en un archivo, por lo general con una extensión .csr.
Presentar la RSE a una autoridad certificadora de su elección. Puede obtener un certificado Distinguished Encoding Rules (DER) o codificado en base 64. Si la CA solicita el tipo de servidor web al cual está destinado el certificado, especifique Otro/Desconocido o Servidor de aplicaciones Java. Después de verificar su identidad, se le enviará un archivo .crt o .cer.
Guarde el certificado firmado recibido de la autoridad certificadora en una ubicación de su equipo a la que se pueda acceder desde el Directorio del administrador de ArcGIS Server. Además del certificado firmado, la Autoridad certificadora expedirá un certificado raíz. Guardar el certificado raíz de la autoridad certificadora en su equipo.
Inicie sesión en el Directorio del administrador de ArcGIS Server: https://gisserver.domain.com:6443/arcgis/admin.
Haga clic en máquinas > [nombre de la máquina] > certificados SSL > importRootOrIntermediate to import the root certificate provided by the CA. Si la autoridad certificadora emitió certificados intermedios adicionales, importar dichos también.
Navegue a equipos > [nombre de equipo] > sslcertificates.
Haga clic en el nombre del certificado autofirmado que envió a la autoridad certificadora.
Haga clic en importSignedCertificate y vaya hasta la ubicación donde se guardó el certificado firmado recibido de la Autoridad certificadora.
Haga clic en Enviar. Esto reemplaza el certificado autofirmado que creó en la sección anterior por el certificado emitido por la autoridad certificadora.

Configurar ArcGIS Server para usar el certificado firmado por una entidad certificadora

Inicie sesión en el Directorio del administrador de ArcGIS Server en https://gisserver.domain.com:6443/arcgis/admin. Reemplace gisserver.domain.com con el nombre completo del equipo en el que se ha instalado ArcGIS Server.
Acceda a equipos > [machine name].
Haga clic en editar.
Escriba el nombre del certificado firmado en el campo Certificado SSL de servidor web. El nombre especificado debe coincidir con el alias del certificado autofirmado que se reemplazó por el certificado firmado por la Autoridad certificadora en la sección anterior.
Haga clic en Guardar modificaciones para aplicar los cambios. De este modo, el sitio de ArcGIS Server se reinicia automáticamente.
Una vez reiniciado el sitio, verifique que puede acceder a la dirección URL https://gisserver.domain.com:6443/arcgis/admin. Si no obtiene respuesta de esta dirección URL, la razón es que ArcGIS Server no ha podido usar el certificado SSL especificado. Inicie sesión en el Directorio del administrador de ArcGIS Server en http://gisserver.domain.com:6080/arcgis/admin, compruebe el certificado SSL y configure ArcGIS Server para usar un certificado nuevo o diferente.
En la página actual, vea la propiedad servidor web certificado SSL para verificar que se utilizará el certificado deseado para HTTPS.

Configure cada equipo con ArcGIS Server en su implementación

Si tiene una implementación de varios equipos con ArcGIS Server, debe obtener y configurar un certificado firmado por una autoridad certificadora para cada equipo con ArcGIS Server que participe en el sitio.

Importar el certificado raíz de la autoridad certificadora en el almacén de certificados del SO

En el equipo en el que esté alojado ArcGIS Server, abra la secuencia de comandos init_user_param.sh en un editor de texto yendo al directorio <ArcGIS Server installation directory>/arcgis/server/usr.
Busque la línea export CA_ROOT_CERTIFICATE_DIR=<Location_to_CA_Root_Certificate> y especifique la ubicación donde se almacenen todos los certificados raíz de CA en el sistema. Es necesario que el directorio especificado sea accesible para la cuenta utilizada para instalar ArcGIS Server. Tendrá quitar la marca de comentario de las líneas eliminando las almohadillas (#).
Guarde y cierre la secuencia de comandos init_user_param.sh.
Repita los pasos del 1 al 3 con cada equipo de ArcGIS Server del sitio.
Reinicie ArcGIS Server en cada equipo. Puede hacerlo ejecutando la secuencia de comandos startserver.sh en cada equipo.

Configurar HTTPS para su sitio

Compruebe que se pueda acceder al portal usando la dirección URL https://gisserver.domain.com:6443/arcgis/admin. Si no obtiene respuesta de esta dirección URL, la razón es que ArcGIS Server no ha podido usar el certificado especificado. Compruebe el certificado y configure ArcGIS Server para usar un certificado nuevo o diferente.
Si puede acceder a la dirección URL https://gisserver.domain.com:6443/arcgis/admin, vaya a security > config > update.
Para el parámetro Protocolo, elija la opción Solo HTTPS y haga clic en Actualizar.

Nota:

ArcGIS Web Adaptor tarda un minuto en detectar los cambios del protocolo de comunicación del sitio.

Legado:

En la versión 10.2.1 y versiones anteriores, era necesario volver a configurar ArcGIS Web Adaptor después de actualizar el protocolo de comunicación de ArcGIS Server. Esto ya no es necesario a partir de la versión 10.2.2.

Acceder a su sitio utilizando HTTPS

Una vez que se haya configurado HTTPS, ArcGIS Server escucha las solicitudes HTTPS en el puerto 6443. Utilice las direcciones URL por debajo de forma segura el acceso a ArcGIS Server:

Administrador de ArcGIS Server	https://gisserver.domain.com:6443/arcgis/manager
Directorio de servicios de ArcGIS Server	https://gisserver.domain.com:6443/arcgis/rest/services

Nota:

Si renombra ArcGIS Server mientras HTTPS está activado, puede continuar accediendo a ArcGIS Server usando HTTPS. No obstante, deberá generar un certificado nuevo y configurar ArcGIS Server para usarlo.

¿Algún comentario sobre este tema?