Skip To Content

تمكين HTTPS في خادم الويب

لتأمين اتصال الشبكة بين ArcGIS Web Adaptor ومؤسسة ArcGIS Enterprise، استخدم بروتوكول HTTPS.

يعتبر بروتوكول HTTPS تقنية تأمين قياسية مستخدمة لإنشاء رابط تشفير بين خادم الويب وعميل الويب. تقوم HTTPS بتسهيل اتصال شبكة آمن بتعريف ومصادقة الخادم، وكذلك ضمان خصوصية وتكامل جميع البيانات المنقولة. نظرًا لمنع HTTPS للتنصت أو التلاعب بالمعلومات التي يتم إرسالها عبر الشبكة، يجب استخدامه في أي عملية لتسجيل الدخول أو المصادقة، وكذلك على أي شبكة يحتوي الاتصال الخاص بها على معلومات سرية أو خاصة.

ملاحظة:‏

يكون استخدام HTTPS المنفذ 443 مناسبًا لأغلبية عمليات النشر. في الحالات النادرة، يتعذر على مثيل ArcGIS Web Adaptor استخدام المنفذ 443 على خادم الويب لأسباب خاصة بالمؤسسة. إذا كان هذا ينطبق على مؤسستك، فراجع استخدام المنافذ غير الافتراضية لـ ArcGIS Web Adaptor الخاص بالبوابة الإلكترونية، والذي يسرد بالتفصيل الخطوات الإضافية لتكوين حل بديل.

يتطلب تمكين HTTPS على خادم ويب شهادة خادم تحتوي على مفتاح عام وخاص. لكل خادم ويب طريقته الخاصة لاستيراد شهادة أو الرجوع إليها في مستمع HTTPS.

تأكد أيضًا من ضبط خادم الويب الخاص بك على تجاهل شهادات العميل للوصول إلى الخدمات الآمنة عبر HTTPS ما لم يتم تكوين مصادقة طبقة الويب من خلال مصادقة شهادة العميل القائمة على PKI.

إنشاء شهادة الخادم أو الحصول عليها

لإنشاء اتصال HTTPS بين ArcGIS Web Adaptor ومؤسستك، يتطلب خادم الويب شهادة خادم. الشهادة هي ملف رقمي يتضمن معلومات عن هوية خادم الويب. وتحتوي أيضًا على تقنية التشفير التي تستخدم عند إنشاء قناة آمنة بين خادم الويب والمؤسسة. يتعين على مالك موقع الويب إنشاء الشهادة وتوقيعها إلكترونيًا. يوجد ثلاثة أنواع من الشهادات— CA الموقعة، والمجال، والموقعة ذاتيًا—ويتم شرحهما أدناه.

شهادات مرجع المصادقة المُوقعة

تؤكد الشهادات الموقعة من هيئة إصدار شهادات مستقلة (CA) للعملاء أنه تم التحقق من هوية موقع الويب. إن هيئة إصدار الشهادات هي عادة ما تكون طرفًا ثالثًا موثوقًا به، ويمكنه التصديق على صحة موقع ويب ما. إذا كان موقع الويب جديرًا بالثقة، فإن هيئة إصدار الشهادات تُضيف التوقيع الرقمي الخاص إلى الشهادة ذاتية التوقيع الخاصة بموقع الويب. يعمل ذلك على التأكيد لعملاء الويب التحقق من صحة هوية موقع الويب.

استخدم الشهادات الموقعة من هيئة إصدار الشهادات (CA) لأنظمة الإنتاج، لا سيما إذا كان سيتم الوصول إلى مؤسسة ArcGIS Enterprise الخاصة بك بواسطة مستخدمين من خارج المؤسسة.

عند استخدام شهادة صادرة عن هيئة إصدار شهادات معروفة جيدًا، يحدث اتصال آمن بين الخادم وعميل الويب تلقائيًا بدون أي إجراء خاص مطلوب من قبل مسؤول والمؤسسة أو العملاء الذين يصلون إليه. ليس هناك سلوكًا متوقعًا أو رسالة تحذيرية تظهر في مستعرض الويب، نظرًا لأنه قد تم التحقق من صحة الموقع الإلكتروني من قبل هيئة إصدار الشهادات.

شهادات المجال

إذا كانت المؤسسة موجودة خلف جدار الحماية ولم تتمكن من استخدام شهادة موقعة من هيئة إصدار الشهادات، فاستخدم شهادة المجال. شهادة المجال هي شهادة داخلية يقوم بالتوقيع عليها المرجع المصدق التابع للمنظمة. إن استخدام شهادة المجال يساعدك على تقليل تكلفة إصدار الشهادات ويقلل من نشر الشهادة، نظرًا لأنه يمكن إنشاء الشهادات داخل المنظمة بغرض الاستخدام الداخلي الموثوق.

لن يكتسب المستخدمين داخل المجال أي من السلوك الغير متوقع أو الرسائل التحذيرية المرتبطة عادةً بالشهادة الموقعة ذاتيًا، نظرًا لأنه تم التحق من صحة الموقع الإلكتروني بواسطة شهادة المجال. ومع ذلك، لا يتم التحقق من صحة شهادات المجال بواسطة مرجع مصدق خارجي، مما يعني أن المستخدمين الذين يزورون موقعك من خارج نطاقك لن يتمكنوا من التحقق من أن شهادتك تمثل الطرف الذي تدعي تمثيله. سيرى المستخدمون الخارجيون تحذيرات المتصفح بشأن عدم موثوقية الموقع، مما قد يدفعهم إلى الاعتقاد بأنهم يتواصلون مع طرف ضار ويتم إبعادهم عن موقعك.

شهادات مُوقعة ذاتيًا

تُسمى الشهادة التي يوقعها مالك موقع الويب باسم شهادة مُوقعة ذاتيًا. تُستخدم الشهادات الموقعة ذاتيًا على مواقع الويب المتوفرة للمستخدمين على الشبكة الداخلية للمنظمة (LAN). إذا كنت تتواصل مع موقع ويب خارج شبكتك الخاصة يستخدم شهادة موقعة ذاتيًا، فليس لديك طريقة للتحقق من أن الموقع الذي يصدر الشهادة يمثل الطرف الذي يدعي أنه يمثله. قد تتعرض للاتصال بطرف غير ضار، مما يُعرض معلوماتك للخطر.

لا يجب اعتبار إنشاء شهادة موقعة ذاتيًا خيارًا صالحًا لبيئة الإنتاج حيث سيؤدي إلى نتائج غير متوقعة وتجربة سيئة لجميع مستخدمي المؤسسة.

عندما تقوم بإعداد المؤسسة، يمكنك استخدام شهادة موقعة ذاتيًا للقيام ببعض الاختبارات الأولية لتساعدك على التحقق سريعًا من أن عملية التكوين كانت ناجحة. ومع ذلك، إذا قمت باستخدام شهادة موقعة ذاتيًا، فستتعرض لما يلي عند الاختبار:

  • ستتلقى تحذيرات حول كون الموقع غير موثوق به عند الوصول إلى المؤسسة من مستعرض ويب أو عميل سطح مكتب.

    عندما يواجه متصفح الويب شهادة موقعة ذاتياً، تعرض رسالة تحذير وتطلب منك التأكيد على أنك تريد المتابعة إلى الموقع. تعرض العديد من المستعرضات رموز تحذير أو لونًا أحمر في شريط العناوين طالما أنك تستخدم الشهادة الموقعة ذاتيًا. توقع رؤية هذا النوع من التحذيرات إذا قمت بتكوين المؤسسة بشهادة موقعة ذاتيًا.

  • لا يمكنك فتح خدمة موحدة في عارض خرائط أو إضافة عنصر خدمة مؤمن إلى المؤسسة أو تسجيل الدخول إلى ArcGIS Server Manager على خادم متحد أو الاتصال بالمؤسسة من ArcGIS for Office.

    للسماح لك بتسجيل الدخول من ArcGIS for Office، ثبّت الشهادة الموقعة ذاتيًا في مخزن شهادات Trusted Root Certification Authorities على الجهاز يعمل عليه ArcGIS for Office.

  • يمكن أن تواجه السلوك غير المتوقع عند طباعة الخدمات المستضافة والوصول إلى المؤسسة من تطبيقات العميل.

تنبيه:

تكون قائمة المسائل أعلاه التي تمر بها عند استخدام شهادة موقعة ذاتيًا غير شاملة. يوصى باستخدام شهادة مجال أو شهادة موقعة من هيئة إصدار الشهادات CA لاختبار ونشر مؤسسة ArcGIS Enterprise بالكامل.

إنشاء مستمع HTTPS

عادةً ما تقتصر قدرة التطبيق على الاستماع على المنافذ المميزة (من 1 إلى 1023) على تلك العمليات التي يديرها المستخدم الجذر. هناك عدة طرق لتجنب تشغيل خادم الويب كمستخدم جذر. فيما يلي الأمثلة:

  • إضافة إمكانية CAP_NET_BIND_SERVICE إلى ملف وحدة الخدمة أو تعيينها على التطبيق الثنائي.
  • استخدم حزمة authbind للسماح بعملية أو مجموعة من العمليات للاستماع على منفذ معين.
  • قم بتشغيل مستمع خادم الويب على منفذ غير مميز واستخدم قواعد جدار الحماية لإعادة توجيه الحزم المرسلة إلى منافذ HTTP/HTTPS القياسية (80/443) إلى المنافذ غير المميزة (على سبيل المثال، 8080/8443).

لمزيد من المعلومات، راجع وثائق خادم الويب الخاص بك.

عند إنشاء مستمع HTTPS، سيطلب المستخدم الذي يقوم بتشغيل خادم الويب إذنًا للوصول إلى شهادة الخادم المستخدمة لاتصالات TLS على المنفذ المحدد. إذا كان مستمع HTTP يعمل، ولكن HTTPS غير متاح، سيشير سجل خادم الويب إلى سبب فشل المستمع في الارتباط بالمنفذ.

اختبار الموقع

بعد الحصول على أو إنشاء شهادة تكون مقيدة بالمنفذ 443، عليك تكوين محول الويب للاستخدام مع المؤسسة. عليك الوصول إلى صفحة تكوين ArcGIS Web Adaptor باستخدام عنوان URL لـ HTTPS مثل https://webadaptorhost.domain.com/webadaptorname/webadaptor.

ملاحظة:‏

في حال تحديد اسم مضيف في ربط موقع HTTPS، يجب مطابقته لاسم المضيف في عنوان URL المُستخدَم للوصول إلى صفحة تكوين ArcGIS Web Adaptor.

بعد تكوين Web Adaptor، اختبر عمل HTTPS بشكل مناسب عن طريق تقديم طلب HTTPS إلى المؤسسة، على سبيل المثال، https://webadaptorhost.domain.com/webadaptorname/home. إذا كنت تختبر باستخدام شهادة موقعة ذاتياً، قم باستبعاد رسالات تحذير المتصفح حول الاتصالات الغير موثوقة. وعادةً تتضمن إضافة استثناء للمتصفح حيث تسمح لك بالاتصال بموقع يستخدم شهادة موقعة ذاتياً.