Para proteger a comunicação de rede entre o ArcGIS Web Adaptor e a organização doArcGIS Enterprise, use o protocolo de HTTPS.
O protocolo de HTTPS é uma tecnologia de segurança padrão utilizada para estabelecer um link codificado entre um servidor da web e um cliente da web. O HTTPS facilita a comunicação de rede segura identificando e autenticando o servidor, como também, garantindo a privacidade e integridade de todos os dados transmitidos. Já que o HTTPS previne verificar ou alterar as informações enviadas pela rede, ele deve ser utilizado com qualquer mecanismo de autenticação ou login e em qualquer rede onde a comunicação contém informações confidenciais ou proprietárias.
Anotação:
O uso da porta 443 padrão de HTTPS é apropriado para a grande maioria das imlpatações. Em casos raros, uma instância do ArcGIS Web Adaptor não pode utilizar a porta 443 no seu servidor da web para razões específicas da organização. Se isto se aplicar à sua organização, consulte Utilizar portas não padrão para o ArcGIS Web Adaptor do portal, o qual detalha as etapas adicionais para configurar uma solução alternativa.
A ativação do HTTPS em um servidor da web requer um certificado de servidor contendo uma chave pública e privada. Cada servidor web tem seu próprio método para importar ou referenciar um certificado em um ouvinte HTTPS.
Certifique-se também que seu servidor da web esteja configurado para ignorar certificados cliente para acessar serviços seguros por HTTPS, a menos que a autenticação na camada da web por meio de autenticação de certificado cliente baseada em PKI esteja configurada.
Criar ou obter um certificado de servidor
Para criar uma conexão de HTTPS entre ArcGIS Web Adaptor e a organização, o servidor da web exige um certificado de servidor. Um certificado é um arquivo digital que contém informações sobre a identidade do servidor da web. Ele também contém a técnica de criptografia para utilizar ao estabelecer um canal seguro entre o servidor da web e a organização. Um certificado deve ser criado pelo proprietário do site da web e digitalmente assinado. Há três tipos de certificados—CA assinado, domínio e auto-assinado—que são explicados abaixo.
Certificados assinados CA
Os certificados assinados por uma autoridade de certificação independente (CA) garantem aos clientes que a identidade do site foi verificada. A autoridade de cetificação é normalmente um terceiro confiável que pode atestar a autenticidade de um site da web. Se um site da web for confiável, a autoridade de certificação adicionará sua própria assinatura digital neste certificado auto-assinado do site da web. Isto garante aos clientes da web que a identidade do site da web foi verificada.
Use certificados assinados pela CA para sistemas de produção, particularmente se a sua organização do ArcGIS Enterprise for acessada por usuários fora da sua organização.
Quando você usa um certificado emitido por uma autoridade de certificação conhecida, a comunicação segura entre o servidor e o cliente web ocorre automaticamente sem nenhuma ação especial exigida pelo administrador da organização ou clientes que o acessam. Não há mensagens de aviso ou comportamento inesperados exibidos no navegador da web, pois o site da web foi verificado pela autoridade de certificação.
Certificados de domínio
Se a organização estiver localizada atrás de seu firewall e você não conseguir usar um certificado assinado por CA, use um certificado de domínio. Um certificado de domínio é um certificado interno assinado pela autoridade de certificação da sua organização. A utilização de um certificado de domínio ajuda a reduz o custo da emissão de certificados e facilita a implantação do certificado, pois os certificados podem ser gerados dentro da sua organização para uso interno de confiança.
Os usuários dentro do seu domínio não experimentarão quaisquer mensagens de aviso ou comportamento inesperados normalmente associados com um certificado auto-assinado, pois o site da web foi verificado pelo certificado de domínio. Quando você usa um certificado emitido por uma autoridade de certificação conhecida, a comunicação segura entre o servidor e o cliente web ocorre automaticamente sem nenhuma ação especial exigida pelo administrador da organização ou clientes que o acessam. Os usuários externos verão avisos do navegador sobre o site não ser confiável, o que pode levá-los a pensar que estão se comunicando com uma parte maliciosa e ser afastados do seu site.
Certificados auto-assinados
Um certificado assinado somente pelo proprietário do site da web é denominado de certificado auto-assinado. Os certificados auto-assinados são comumente utilizados em sites da web que estão disponíveis somente para usuários na rede interna da organização (LAN). Se você comunicar com um site da web fora de sua própria rede que utiliza um certificado auto assinado, você não terá nenhum modo para verificar se o site que emite o certificado representa a parte que ele reivindica para representar. Você pode estar se comunicando com uma parte maliciosa, colocando suas informações em risco.
A criação de um certificado auto-assinado não deve ser considerada uma opção válida para um ambiente de produção, pois levará a resultados inesperados e uma experiência inválida para todos os usuários da organização.
Ao configurar a organização, você pode usar um certificado autoassinado para fazer alguns testes iniciais para ajudá-lo a verificar rapidamente se sua configuração foi bem-sucedida. Porém, se você utilizar um certificado auto-assinado, você experimentará o seguinte ao testar:
- Você receberá avisos sobre o site não ser confiável ao acessar a organização de um navegador da web ou cliente de desktop.
Quando um navegador da web encontra um certificado auto assinado, ele geralmente exibe um aviso e pede que você confirme se deseja prosseguir para o site. Muitos navegadores exibem ícones de aviso ou uma cor vermelha na barra de endereço já que você usa o certificado auto assinado. Espere ver esses tipos de avisos se você configurar a organização com um certificado auto assinado.
- Você pode abrir um serviço federado em um visualizador de mapa, adicionar um item de serviço seguro na organização, entrar no ArcGIS Server Manager em um servidor federado ou conectar à organização a partir do ArcGIS for Office.
Para permitir que você entre a partir do ArcGIS for Office, instale o certificado auto assinado no armazenamento de certificados das Autoridades de Certificação Raiz Confiáveis na máquina executando ArcGIS for Office.
- Você pode experimentar um comportamento inesperado ao imprimir serviços hospedados e acessar a organização a partir de aplicativos cliente.
Aviso:
A lista de problemas acima, você experimentará ao utilizar um certificado auto assinado que não é exaustivo. É recomendado que você utilize um certificado de domínio ou certificado assinado pela CA para testar completamente e implantar uma organização do ArcGIS Enterprise.
Criar um ouvinte HTTPS
A capacidade de um aplicativo de escutar em portas privilegiadas (1 a 1023) normalmente é restrita aos processos executados pelo usuário raiz. Existem várias maneiras de evitar a execução do servidor da web como usuário raiz. Os seguintes são exemplos:
- Adicione a capacidade CAP_NET_BIND_SERVICE ao arquivo da unidade de serviço ou defina no binário do aplicativo.
- Use o pacote authbind para permitir que um processo ou conjunto de processos escute em uma porta específica.
- Execute o ouvinte do servidor web em uma porta não privilegiada e use regras de firewall para redirecionar os pacotes enviados para as portas HTTP/HTTPS padrão (80/443) para portas não privilegiadas (por exemplo, 8080/8443).
Para obter mais informações, consulte a documentação do seu servidor web.
Ao criar um ouvinte HTTPS, o usuário que executa o servidor da web precisará de permissão para acessar o certificado do servidor usado para comunicações TLS na porta específica. Se o ouvinte HTTP estiver funcionando, mas o HTTPS não estiver disponível, o log do servidor da web indicará o motivo pelo qual o ouvinte falhou ao se conectar à porta.
Testar seu site
Após obter ou criar um certificado vinculado à porta 443, configure seu Web Adaptor para utilizar com a organização. Você deve acessar a página de configuração do ArcGIS Web Adaptor usando uma URL de HTTPS como https://webadaptorhost.domain.com/webadaptorname/webadaptor.
Após configurar o Web Adaptor, teste se o HTTPS está funcionando corretamente, fazendo uma solicitação de HTTPS para a organização, por exemplo, https://webadaptorhost.domain.com/webadaptorname/home. Se você for testar com um certificado auto assinado, ignore os avisos do navegador sobre conexões não confiáveis. Isto normalmente envolve adicionar uma exceção no seu navegador de forma que ele permitirá a você se comunicar com o site que está utilizando um certificado auto assinado.