يعتبر بروتوكول HTTPS تقنية تأمين قياسية مستخدمة لإنشاء رابط تشفير بين خادم الويب وعميل الويب. تقوم HTTPS بتسهيل اتصال شبكة آمن بتعريف ومصادقة الخادم، وكذلك ضمان خصوصية وتكامل جميع البيانات المنقولة. نظرًا لمنع HTTPS للتنصت أو التلاعب بالمعلومات التي يتم إرسالها عبر الشبكة، يجب استخدامه في أي عملية لتسجيل الدخول أو المصادقة، وكذلك على أي شبكة يحتوي الاتصال الخاص بها على معلومات سرية أو خاصة.
لتشفير الاتصال بين ArcGIS Web Adaptor و Portal for ArcGIS، يجب استخدام HTTPS في المنفذ 443. لا يُمكن استخدام أي منفذ آخر. يضمن استخدام HTTPS تعذّر فك شفرة الأسماء وكلمات المرور والمعلومات الحساسة الأخرى لإرسالها بين ArcGIS Web Adaptor والبوابة الإلكترونية. عند استخدام HTTPS، يمكن الاتصال بصفحات الويب والموارد باستخدام بروتوكول HTTPS بدلاً من HTTP.
يجب الحصول على شهادة SSL وربطها بالموقع الذي يستضيف ArcGIS Web Adaptor. يوجد لدى كل خادم ويب إجراءاته الخاصة لتحميل شهادة وربطها بموقع ويب.
تأكد أيضًا من تعيين خادم الويب لتجاهل شهادات العميل للوصول إلى الخدمات الآمنة عبر HTTPS مباشرةً.
إنشاء شهادة الخادم
للتمكّن من إنشاء اتصال HTTPS بين ArcGIS Web Adaptor والبوابة الإلكترونية، يتطلب خادم الويب شهادة خادم. الشهادة هي ملف رقمي يتضمن معلومات عن هوية خادم الويب. وتحتوي أيضًا على تقنية التشفير التي تستخدم عند إنشاء قناة آمنة بين خادم الويب والبوابة الإلكترونية. يتعين على مالك موقع الويب إنشاء الشهادة وتوقيعها إلكترونيًا. يوجد ثلاثة أنواع من الشهادات— CA الموقعة، والمجال، والموقعة ذاتيًا—ويتم شرحهما أدناه.
شهادات مرجع المصادقة المُوقعة
ينبغي استخدام الشهادات الموقعة للمرجع المصدق (CA) لأنظمة الإنتاج، لا سيما في حالة الوصول إلى نشر Portal for ArcGIS من المستخدمين خارج المنظمة. على سبيل المثال، إذا كانت بوابتك الإلكترونية خلف جدار الحماية ويمكن الوصول إليها عبر الإنترنت، فإن استخدام الشهادة الموقعة لـ CA تضمن العملاء من خارج المنظمة أنه قد تم التحقق من صحة هوية الموقع الإلكتروني.
إضافة إلى توقيع مالك موقع الويب لشهادة SSL، قد يتعين توقيع مرجع المُصدق المستقل (CA) للشهادة أيضًا. مرجع المُصدق هو عادة ما يكون طرفًا ثالثًا موثوقًا به، ويمكنه التصديق على صحة موقع ويب ما. إذا كان موقع الويب جديرًا بالثقة، فإن مرجع المُصدق يُضيف توقيعه الرقمي الخاص إلى الشهادة ذاتية التوقيع الخاصة بموقع الويب. يعمل ذلك على التأكيد لعملاء الويب التحقق من صحة هوية موقع الويب.
عند استخدام شهادة SSL يُصدرها مرجع مُصدق شهير، يتم إجراء اتصال آمن بين الخادم وعميل الويب تلقائيًا دون أن يتعين على المستخدم القيام بإجراء خاص. ليس هناك سلوكًا متوقعًا أو رسالة تحذيرية تظهر في مستعرض الويب، نظرًا لأنه قد تم التحقق من صحة الموقع الإلكتروني من قبل المرجع المُصدق CA.
شهادات المجال
إذا كانت بوابتك الإلكترونية موجودة خلف جدار الحماية واستخدام الشهادة الموقعة من جانب المرجع المُصدق CA غير ممكنة، فإن استخدام شهادة المجال تعد حلاً مقبولاً. شهادة المجال هي شهادة داخلية يقوم بالتوقيع عليها المرجع المصدق التابع للمنظمة. إن استخدام شهادة المجال يساعدك على تقليل تكلفة إصدار الشهادات ويقلل من نشر الشهادة، نظرًا لأنه يمكن إنشاء الشهادات سريعًا داخل المنظمة بغرض الاستخدام الداخلي الموثوق.
لن يكتسب المستخدمين داخل المجال أي من السلوك الغير متوقع أو الرسائل التحذيرية المرتبطة عادةً بالشهادة الموقعة ذاتيًا، نظرًا لأنه تم التحق من صحة الموقع الإلكتروني بواسطة شهادة المجال. ومع ذلك، لا يقوم المرجع المُصدق الخارجي بالتحقق من صحة الشهادة، الذي يعني أنه لن يتمكن المستخدمين ممن يقومون بزيارة الموقع من خارج المجال بالتحقق من صحة أن الشهادة تمثل بالفعل الطرف الذي يدعي تمثيله. سوف يرى المستخدمين الخارجيين باستعراض التحذيرات حول الموقع الغير موثوق الذي قد يؤديهم إلى التفكير بأنهم على اتصال بالفعل مع طرف مخادع ويتم ابتعادهم عن الموقع.
إنشاء شهادة مجال في IIS
في مدير IIS، قم بعمل التالي لإنشاء شهادة مجال:
- داخل لوحة الاتصالات، حدد الخادم داخل طريقة عرض الشجرة وانقر نقرتين مزدوجتين فوق شهادات الخادم.
- في لوحة إجراءات ، انقر فوق Cإنشاء شهادة المجال.
- في مربع حوار خصائص الاسم المُميزة أدخل المعلومات المطلوب للشهادة:
- بالنسبة للاسم الشائع، يجب عليك إدخال اسم المجال المؤهل كليةً للجهاز، على سبيل المثال، portal.domain.com.
- فيما يتعلق بالخصائص الأخرى، أدخل المعلومات المخصصة للمنظمة والموقع.
- انقر على التالي.
- في المربع الحواري المرجع المصدق عبر الإنترنت ، انقر فوق تحديد واختر المرجع المصدق داخل المجال الذي تقوم من خلال توقيع الشهادة. في حالة عدم توافر هذا الخيار، أدخل المرجع المصدق للمجال في الحقل تحديد المرجع المصدق على الإنترنت ، على سبيل المثال، City Of Redlands Enterprise Root\REDCASRV.empty.local. إذا كنت بحاجة إلى المساعدة مع هذه الخطوة، راجع مسئول النظام.
- أدخل اسم المستخدم المألوف لشهادة المجال وانقر فوق إنهاء.
الخطوة الأخيرة هي ضم شهادة المجال إلى HTTPS بمنفذ 443. راجع ضم الشهادة للموقع أدناه للتعليمات التالية.
شهادات مُوقعة ذاتيًا
ينبغي ألا يعتبر إنشاء شهادة موقعة ذاتيًا على أنها خيار صحيح لبيئة إنتاج حيث أنها ستؤدي إلى نتائج غير متوقعة وتجربة ضعيفة لكلا مستخدمي البوابة الإلكترونية.
تُسمى الشهادة التي يوقعها مالك موقع الويب باسم شهادة مُوقعة ذاتيًا. تُستخدم الشهادات الموقعة ذاتيًا على مواقع الويب المتوفرة للمستخدمين على الشبكة الداخلية للمنظمة (LAN). إذا تم الاتصال بموقع يستخدم شهادة موقعة ذاتياً خارج الشبكة، فيجب التحقق من أن الموقع يقوم بإصدار شهادة تُمثل الطرف بالفعل. قد تتعرض للاتصال بطرف غير معروف، تُعرض معلوماتك للخطر.
عندما تقوم أولا بإعداد البوابة الإلكترونية، قد تستخدم شهادة موقعة ذاتيًا للقيام ببعض الاختبارات الأولية لتساعدك سريعًا في التحقق من أن عملية التكوين كانت ناجحة. ومع ذلك، إذا قمت باستخدام شهادة موقعة ذاتيًا، احترس من أنك ستقوم بعمل ما يلي عند الاختبار:
- تحذيرات مستعرض الويب و ArcGIS Desktop حول الموقع الغير موثوق به. عندما يواجه متصفح الويب شهادة موقعة ذاتياً، ستعرض رسالة تحذير وتطلب منك التأكيد على أنك تريد المتابعة إلى الموقع. تعرض العديد من المتصفحات رموز تحذير أو لون أحمر في شريط العنوان طالما تستخدم الشهادة الموقعة ذاتياً. يجب أن تتوقع رؤية تلك الأنواع من التحذيرات إذا قمت بتكوين البوابة الإلكترونية بالشهادة الموقعة ذاتياً.
- عدم التمكن من فتح خدمة متحدة في عارض خرائط البوابة الإلكترونية، وإضافة عنصر خدمة مؤمن إلى البوابة الإلكترونية، وتسجيل الدخول إلى مدير ArcGIS for Server على خادم موحد، والاتصال بالبوابة الإلكترونية من Esri Maps for Office.
- السلوك غير المتوقع عند طباعة الخدمات المستضافة والوصول إلى البوابة الإلكترونية من تطبيقات العميل.
- عدم القدرة على تسجيل الدخول إلى البوابة الإلكترونية من Esri Maps for Office مالم يتم تثبيت الشهادة الموقعة ذاتيًا داخل مخزن شهادة المراجع المصدقة الأصلية الموثوقة على الجهاز الذي يقوم بتشغيل Esri Maps for Office.
تنبيه:
تكون قائمة المسائل أعلاه التي تمر بها عند استخدام شهادة موقعة ذاتيًا غير شاملة. يوصى باستخدام شهادة مجال أو شهادة موقعة من المرجع المصدق CA لاختبار ونشر بوابتك الإلكترونية بالكامل.
إنشاء شهادة موقعة ذاتيًا في IIS
في مدير IIS، قم بعمل التالي لإنشاء شهادة موقعة ذاتيًا:
- داخل لوحة الاتصالات، حدد الخادم داخل طريقة عرض الشجرة وانقر نقرتين مزدوجتين فوق شهادات الخادم.
- داخل لوحة الإجراءات، انقر فوق إنشاء شهادة موقعة ذاتياً.
- أدخل اسم مألوف للمستخدم للشهادة الجديدة وانقر فوق موافق.
الخطوة الأخيرة هي ضم الشهادة الموقعة ذاتيًا إلى HTTPS بمنفذ 443. راجع ضم الشهادة للموقع أدناه للتعليمات التالية.
ضم الشهادة إلى موقع الويب
بمجرد إنشاء شهادة SSL، يتعين عليك ربطها بموقع الويب الذي يستضيف ArcGIS Web Adaptor. يُشير الربط إلى عملية تكوين الشهادة لاستخدام منفذ 443 على موقع الويب. تتنوع تعليمات ربط شهادة بموقع الويب بحسب نظام وإصدار خادم الويب. يُمكنك طلب المساعدة من مسئول النظام أو مراجعة وثائق خادم الويب عند الحاجة إلى التعليمات. على سبيل المثال، فيما يلي خطوات ربط شهادة في IIS.
ربط شهادة بمنفذ 443 في IIS
في مدير IIS، قم بعمل التالي لربط شهادة بـ HTTPS في منفذ 443:
- حدد الموقع داخل طريقة عرض الشجرة وداخل لوحة الإجراءات، انقر فوق الروابط.
- في حالة عدم توافر المنفذ 443 في قائمة الروابط، انقر فوق إضافة. من القائمة المنسدلة النوع ، حدد https. اجعل المنفذ 443
- إذا تم إدراج المنفذ 443، حدد المنفذ من القائمة وانقر فوق تحرير.
- في حالة عدم توافر المنفذ 443 في قائمة الروابط، انقر فوق إضافة. من القائمة المنسدلة النوع ، حدد https. اجعل المنفذ 443
- من القائمة المنسدلة الشهادة، حدد اسم الشهادة، وانقر على موافق.
اختبار الموقع
بعد ربط الشهادة بالموقع الإلكتروني، يمكن تكوين محول الويب للاستخدام مع البوابة الإلكترونية. ستحتاج الوصول إلى صفحة تكوين ArcGIS Web Adaptor باستخدام عنوان URL لـ HTTPS مثل https://webadaptorhost.domain.com/webadaptorname/webadaptor.
بعد تكوين Web Adaptor، يجب اختبار أن HTTPS يعمل بشكل مناسب عن طريق عمل طلب HTTPS بموقع البوابة الإلكتروني، مثل، https://webadaptorhost.domain.com/webadaptorname/home. إذا كنت تختبر باستخدام شهادة موقعة ذاتياً، قم باستبعاد رسالات تحذير المتصفح حول الاتصالات الغير موثوقة. وعادةً تتضمن إضافة استثناء للمتصفح حيث تسمح لك بالاتصال بموقع يستخدم شهادة موقعة ذاتياً.
لمعرفة المزيد حول استخدام SSL في نشر بوابتك الإلكترونية، راجع أفضل ممارسات الأمان.