لتأمين اتصال الشبكة بين ArcGIS Web Adaptor ومؤسسة ArcGIS Enterprise، استخدم بروتوكول HTTPS.
يعتبر بروتوكول HTTPS تقنية تأمين قياسية مستخدمة لإنشاء رابط تشفير بين خادم الويب وعميل الويب. تقوم HTTPS بتسهيل اتصال شبكة آمن بتعريف ومصادقة الخادم، وكذلك ضمان خصوصية وتكامل جميع البيانات المنقولة. نظرًا لمنع HTTPS للتنصت أو التلاعب بالمعلومات التي يتم إرسالها عبر الشبكة، يجب استخدامه في أي عملية لتسجيل الدخول أو المصادقة، وكذلك على أي شبكة يحتوي الاتصال الخاص بها على معلومات سرية أو خاصة.
ملاحظة:
يكون استخدام HTTPS المنفذ 443 مناسبًا لأغلبية عمليات النشر. في بعض الحالات النادرة، يتعذر على مثيل ArcGIS Web Adaptor استخدام المنفذ 443 على خادم الويب لأسباب خاصة بالمؤسسة. إذا كان هذا ينطبق على مؤسستك، فراجع استخدام المنافذ غير الافتراضية لـ ArcGIS Web Adaptor الخاص بالبوابة الإلكترونية، والذي يسرد بالتفصيل الخطوات الإضافية لتكوين حل بديل.
يجب عليك الحصول على شهادة SSL وربطها بالموقع الذي يستضيف ArcGIS Web Adaptor. يوجد لدى كل خادم ويب إجراءاته الخاصة لتحميل شهادة وربطها بموقع ويب.
تأكد أيضًا من ضبط خادم الويب الخاص بك على تجاهل شهادات العميل للوصول بشكل صحيح إلى الخدمات الآمنة عبر HTTPS.
إنشاء شهادة الخادم أو الحصول عليها
لإنشاء اتصال HTTPS بين ArcGIS Web Adaptor ومؤسستك، يتطلب خادم الويب شهادة خادم. الشهادة هي ملف رقمي يتضمن معلومات عن هوية خادم الويب. وتحتوي أيضًا على تقنية التشفير التي تستخدم عند إنشاء قناة آمنة بين خادم الويب والبوابة الإلكترونية. يتعين على مالك موقع الويب إنشاء الشهادة وتوقيعها إلكترونيًا. يوجد ثلاثة أنواع من الشهادات— CA الموقعة، والمجال، والموقعة ذاتيًا—ويتم شرحهما أدناه.
شهادات مرجع المصادقة المُوقعة
تؤكد الشهادات الموقعة من هيئة إصدار شهادات مستقلة (CA) للعملاء أنه تم التحقق من هوية موقع الويب. إن هيئة إصدار الشهادات هي عادة ما تكون طرفًا ثالثًا موثوقًا به، ويمكنه التصديق على صحة موقع ويب ما. إذا كان موقع الويب جديرًا بالثقة، فإن هيئة إصدار الشهادات تُضيف التوقيع الرقمي الخاص إلى الشهادة ذاتية التوقيع الخاصة بموقع الويب. يعمل ذلك على التأكيد لعملاء الويب التحقق من صحة هوية موقع الويب.
استخدم الشهادات الموقعة من هيئة إصدار الشهادات (CA) لأنظمة الإنتاج، لا سيما إذا كان سيتم الوصول إلى مؤسسة ArcGIS Enterprise الخاصة بك بواسطة مستخدمين من خارج المؤسسة.
عند استخدام شهادة صادرة عن هيئة إصدار شهادات معروفة جيدًا، يحدث اتصال آمن بين الخادم وعميل الويب تلقائيًا بدون أي إجراء خاص مطلوب من قبل مسؤول البوابة الإلكترونية أو العملاء الذين يصلون إليه. ليس هناك سلوكًا متوقعًا أو رسالة تحذيرية تظهر في مستعرض الويب، نظرًا لأنه قد تم التحقق من صحة الموقع الإلكتروني من قبل هيئة إصدار الشهادات.
شهادات المجال
إذا كانت البوابة الإلكترونية موجودة خلف جدار الحماية ولم تتمكن من استخدام شهادة موقعة من هيئة إصدار الشهادات، فاستخدم شهادة المجال. شهادة المجال هي شهادة داخلية يقوم بالتوقيع عليها المرجع المصدق التابع للمنظمة. إن استخدام شهادة المجال يساعدك على تقليل تكلفة إصدار الشهادات ويقلل من نشر الشهادة، نظرًا لأنه يمكن إنشاء الشهادات داخل المنظمة بغرض الاستخدام الداخلي الموثوق.
لن يكتسب المستخدمين داخل المجال أي من السلوك الغير متوقع أو الرسائل التحذيرية المرتبطة عادةً بالشهادة الموقعة ذاتيًا، نظرًا لأنه تم التحق من صحة الموقع الإلكتروني بواسطة شهادة المجال. ومع ذلك، لا يقوم هيئة إصدار الشهادات الخارجي بالتحقق من صحة الشهادة، الذي يعني أنه لن يتمكن المستخدمين ممن يقومون بزيارة الموقع من خارج المجال بالتحقق من صحة أن الشهادة تمثل بالفعل الطرف الذي يدعي تمثيله. سيرى المستخدمون الخارجيون باستعراض التحذيرات حول الموقع الغير موثوق الذي قد يؤديهم إلى التفكير بأنهم على اتصال بالفعل مع طرف مخادع ويتم ابتعادهم عن الموقع.
أنشئ شهادة نطاق، وقم بتمكين HTTPS
يتطلب اكتمال معالج تكوين ArcGIS Enterprise بنجاح تمكين HTTPS في IIS بخادم الويب حيث يكون النشر الأساسي مثبتًا.
إذا لم يتم تمكين HTTPS، فإن معالج التكوين لن يكتمل وستستلم رسالة الخطأ التالية:
لا يمكن الوصول إلى عنوان URL الخاص بمحول الويب "Web Adaptor" https://mymachine.mydomain.com/server. يرجى التحقق من تمكين HTTPS لخادم الويب. للحصول على تعليمات تمكين HTTPS، انتقل إلى موضوع التعليمات: مقدمة إلى ArcGIS Enterprise > ArcGIS Enterprise Builder > تخطيط نشر أساسي.
ملاحظة:
في معظم الحالات، سيمنحك مسؤول تكنولوجيا المعلومات الشهادات، ويربطها بمنفذ HTTPS رقم 443.
في 2017، بدأ Google ChromeGoogle Chrome في الوثوق في الشهادات ذات معلمة "اسم بديل للموضوع (SAN)"، والذي يتعذر تكوينه عند إنشاء شهادة في تطبيق مدير IIS.
إذا كنت تستخدم IIS وتريد إنشاء شهادة نطاق، راجع موضوع إنشاء شهادة نطاق الذي يوفر برنامجًا نصيًا ليعمل على جهازك الذي سينشئ الشهادة المناسبة وربطه بمنفذ HTTPS 443.
شهادات مُوقعة ذاتيًا
تُسمى الشهادة التي يوقعها مالك موقع الويب باسم شهادة مُوقعة ذاتيًا. تُستخدم الشهادات الموقعة ذاتيًا على مواقع الويب المتوفرة للمستخدمين على الشبكة الداخلية للمنظمة (LAN). إذا تم الاتصال بموقع يستخدم شهادة موقعة ذاتياً خارج الشبكة، فيجب التحقق من أن الموقع يقوم بإصدار شهادة تُمثل الطرف بالفعل. قد تتعرض للاتصال بطرف غير معروف، تُعرض معلوماتك للخطر.
لا يجب اعتبار إنشاء شهادة موقعة ذاتيًا خيارًا صالحًا لبيئة الإنتاج حيث سيؤدي إلى نتائج غير متوقعة وتجربة سيئة لجميع مستخدمي البوابة الإلكترونية.
عندما تقوم أولا بإعداد البوابة الإلكترونية، يمكنك استخدام شهادة موقعة ذاتيًا للقيام ببعض الاختبارات الأولية لتساعدك على التحقق سريعًا من أن عملية التكوين كانت ناجحة. ومع ذلك، إذا قمت باستخدام شهادة موقعة ذاتيًا، فستتعرض لما يلي عند الاختبار:
- ستتلقى تحذيرات حول كون الموقع غير موثوق به عند الوصول إلى البوابة الإلكترونية من مستعرض ويب أو عميل سطح مكتب.
عندما يواجه متصفح الويب شهادة موقعة ذاتياً، تعرض رسالة تحذير وتطلب منك التأكيد على أنك تريد المتابعة إلى الموقع. تعرض العديد من المستعرضات رموز تحذير أو لونًا أحمر في شريط العناوين طالما أنك تستخدم الشهادة الموقعة ذاتيًا. توقع رؤية هذا النوع من التحذيرات إذا قمت بتكوين البوابة الإلكترونية بشهادة موقعة ذاتيًا.
- لا يمكنك فتح خدمة موحدة في عارض خرائط أو إضافة عنصر خدمة مؤمن إلى البوابة الإلكترونية أو تسجيل الدخول إلى ArcGIS Server Manager على خادم متحد أو الاتصال بالبوابة الإلكترونية من ArcGIS for Office.
للسماح لك بتسجيل الدخول من ArcGIS for Office، ثبّت الشهادة الموقعة ذاتيًا في مخزن شهادات Trusted Root Certification Authorities على الجهاز يعمل عليه ArcGIS for Office.
- يمكن أن تواجه السلوك غير المتوقع عند طباعة الخدمات المستضافة والوصول إلى البوابة الإلكترونية من تطبيقات العميل.
تنبيه:
تكون قائمة المسائل أعلاه التي تمر بها عند استخدام شهادة موقعة ذاتيًا غير شاملة. يوصى باستخدام شهادة مجال أو شهادة موقعة من هيئة إصدار الشهادات CA لاختبار ونشر بوابة ArcGIS Enterprise الإلكترونية بالكامل.
ضم الشهادة إلى موقع الويب
يجب عليك ربط شهادتك بالموقع الذي يستضيف ArcGIS Web Adaptor. يُشير الربط إلى عملية تكوين الشهادة لاستخدام منفذ 443 على موقع الويب.
ملاحظة:
سيقوم البرنامج النصي في موضوع إنشاء شهادة نطاق بربط شهادتك من أجلك
تتنوع تعليمات ربط شهادة بموقع الويب بحسب نظام وإصدار خادم الويب. يُمكنك طلب المساعدة من مسئول النظام أو مراجعة وثائق خادم الويب عند الحاجة إلى التعليمات. على سبيل المثال، فيما يلي خطوات ربط شهادة في IIS.
- حدد الموقع في طريقة عرض الشجرة، وفي لوحة إجراءات انقر على الروابط.
- إذا لم يكن المنفذ 443 متاحًا في قائمة الروابط، فانقر فوق إضافة. من القائمة المنسدلة النوع، حدد https. اجعل المنفذ 443
- إذا تم إدراج المنفذ 443، حدد المنفذ من القائمة، وانقر على تحرير.
- إذا لم يكن المنفذ 443 متاحًا في قائمة الروابط، فانقر فوق إضافة. من القائمة المنسدلة النوع، حدد https. اجعل المنفذ 443
- من القائمة المنسدلة الشهادة، حدد اسم الشهادة، وانقر على موافق.
اختبار الموقع
بعد الحصول على أو إنشاء شهادة تكون مقيدة بالمنفذ 443، عليك تكوين محول الويب للاستخدام مع المؤسسة. عليك الوصول إلى صفحة تكوين ArcGIS Web Adaptor باستخدام عنوان URL لـ HTTPS مثل https://webadaptorhost.domain.com/webadaptorname/webadaptor.
بعد تكوين Web Adaptor، اختبر عمل HTTPS بشكل مناسب عن طريق تقديم طلب HTTPS إلى المؤسسة، على سبيل المثال، https://webadaptorhost.domain.com/webadaptorname/home. إذا كنت تختبر باستخدام شهادة موقعة ذاتياً، قم باستبعاد رسالات تحذير المتصفح حول الاتصالات الغير موثوقة. وعادةً تتضمن إضافة استثناء للمتصفح حيث تسمح لك بالاتصال بموقع يستخدم شهادة موقعة ذاتياً.