Skip To Content

Aktivieren von SSL auf dem Webserver

In diesem Thema

Das SSL-Protokoll ist eine Standard-Sicherheitstechnologie, die zum Einrichten einer verschlüsselten Verbindung zwischen einem Webserver und einem Webclient verwendet wird. SSL sorgt für eine sichere Netzwerkkommunikation, indem der Server identifiziert und authentifiziert und der Datenschutz und die Integrität aller übertragenen Daten sichergestellt wird. Da SSL das Abhören oder Manipulieren von im Netzwerk versendeten Informationen verhindert, sollte es in jedem Anmeldungs- oder Authentifizierungsmechanismus sowie für das gesamte Netzwerk verwendet werden, in dem die Kommunikation vertrauliche oder proprietäre Informationen enthält.

Zum Verschlüsseln der Kommunikation zwischen ArcGIS Web Adaptor und Portal for ArcGIS muss Secure Sockets Layer (SSL) auf Port 443 verwendet werden. Die Verwendung eines anderen Ports ist nicht möglich. Durch die Verwendung von SSL wird verhindert, dass die zwischen Web Adaptor und dem Portal gesendeten Namen, Kennwörter und anderen vertraulichen Daten gelesen werden. Wenn Sie SSL verwenden, stellen Sie eine Verbindung mit Webseiten und Ressourcen über das HTTPS- anstatt das HTTP-Protokoll her.

Sie müssen ein SSL-Zertifikat anfordern und es an die Website binden, auf der Web Adaptor gehostet wird. Das Laden eines Zertifikats und dessen Bindung an eine Website ist je nach Webserver unterschiedlich.

Erstellen eines SSL-Zertifikats

Um eine SSL-Verbindung zwischen dem Web Adaptor und Ihrem Portal zu erstellen, benötigt der Webserver ein SSL-Zertifikat. Ein SSL-Zertifikat ist eine digitale Datei, die Informationen zur Identität des Webservers enthält. Sie enthält außerdem die Verschlüsselungstechnik, die verwendet wird, wenn ein sicherer Kanal zwischen dem Webserver und dem Portal hergestellt wird. Ein SSL-Zertifikat muss vom Besitzer der Website erstellt und digital signiert werden. Es gibt drei Typen von Zertifikaten, CA-signierte, Domänen- und selbstsignierte Zertifikate, die weiter unten erläutert werden.

CA-signierte Zertifikate

Von einer Zertifizierungsstelle signierte Zertifikate sollten für Produktionssysteme verwendet werden, insbesondere dann, wenn Benutzer außerhalb Ihrer Organisation auf die Bereitstellung von Portal for ArcGIS zugreifen. Wenn Ihr Portal sich beispielsweise nicht hinter einer Firewall befindet und über das Internet aufgerufen werden kann, wird Clients außerhalb Ihrer Organisation durch die Verwendung eines CA-signierten Zertifikats garantiert, dass die Identität der Website überprüft wurde.

Ein SSL-Zertifikat kann außer durch den Besitzer der Website auch durch eine unabhängige Zertifizierungsstelle (Independent Certificate Authority, CA) signiert werden. Eine CA ist normalerweise ein vertrauenswürdiger Drittanbieter, der die Authentizität einer Website bestätigen kann. Wenn eine Website vertrauenswürdig ist, fügt die CA dem selbstsignierten SSL-Zertifikat dieser Website eine eigene digitale Signatur hinzu. Auf diese Weise wird Webclients garantiert, dass die Identität der Website überprüft wurde.

Beim Verwenden eines SSL-Zertifikats, das von einer bekannten CA ausgestellt wurde, findet die sichere Kommunikation zwischen dem Server und dem Webclient automatisch statt, ohne dass eine spezielle Aktion des Benutzers erforderlich ist. Im Webbrowser liegt kein unerwartetes Verhalten vor, bzw. es wird keine Warnmeldung angezeigt, da die Website durch die CA überprüft wurde.

Domänenzertifikate

Wenn sich Ihr Portal hinter einer Firewall befindet und kein signiertes CA-Zertifikat verwendet werden kann, ist ein Domänenzertifikat eine akzeptable Lösung. Ein Domänenzertifikat ist ein internes Zertifikat, das von der Zertifizierungsstelle einer Organisation signiert wird. Durch die Verwendung eines Domänenzertifikats können Kosten für die Ausstellung von Zertifikaten reduziert und die Bereitstellung von Zertifikaten vereinfacht werden, da sie schnell innerhalb der Organisation zur vertrauenswürdigen internen Verwendung erstellt werden können.

Innerhalb Ihrer Domäne kommt es weder zu unerwartetem Verhalten noch zu Warnmeldungen, wie dies normalerweise bei einem selbstsignierten Zertifikat der Fall ist, da die Website durch das Domänenzertifikat überprüft wurde. Domänenzertifikate werden jedoch nicht durch eine externe CA überprüft, d. h. Benutzer, die Ihre Site von außerhalb Ihrer Domäne besuchen, können nicht überprüfen, ob es sich bei dem Zertifikat tatsächlich um das Zertifikat handelt, das es vorgibt zu sein. Externen Benutzern werden Browser-Warnungen angezeigt, dass die Site nicht vertrauenswürdig ist, wodurch sie den Eindruck gewinnen können, mit einem bösartigen Angreifer zu kommunizieren, und von Ihrer Site weggeleitet werden.

Erstellen einen Domänenzertifikats in IIS

Führen Sie in IIS Manager die folgenden Schritte aus, um ein Domänenzertifikat zu erstellen:

  1. Wählen Sie im Fenster Verbindungen Ihren Server in der Strukturansicht aus, und doppelklicken Sie auf Serverzertifikate.

    Das Symbol "Serverzertifikate" in IIS Manager

  2. Klicken Sie im Fenster Aktionen auf Domänenzertifikat erstellen.

    Erstellen von Links für Domänenzertifikate in IIS Manager

  3. Geben Sie im Dialogfeld Eigenschaften für definierten Namen die erforderlichen Informationen für das Zertifikat ein:
    1. Für Allgemeiner Name müssen Sie den vollständig qualifizierten Domänennamen des Computers eingeben, beispielsweise portal.domain.com.
    2. Für die anderen Eigenschaften geben Sie die für Ihre Organisation und Ihren Standort spezifischen Informationen ein.

      Das Dialogfeld "Eigenschaften für definierten Namen" in IIS Manager

  4. Klicken Sie auf Weiter.
  5. Klicken Sie im Dialogfeld Onlinezertifizierungsstelle auf Auswählen, und wählen Sie die Zertifizierungsstelle in Ihrer Domäne aus, die das Zertifikat signiert. Wenn diese Option nicht verfügbar ist, geben Sie die Onlinezertifizierungsstelle Ihrer Domäne in das Feld Online-Zertifizierungsstelle angeben ein, beispielsweise City Of Redlands Enterprise Root\REDCASRV.empty.local. Falls Sie Hilfe bei diesem Schritt benötigen, wenden Sie sich an Ihren Systemadministrator.

    Das Dialogfeld Online "Onlinezertifizierungsstelle" in IIS Manager

  6. Geben Sie einen benutzerfreundlichen Namen für das Domänenzertifikat ein, und klicken Sie auf Fertig stellen.

Der letzte Schritt besteht darin, das Domänenzertifikat an den SSL-Port 443 zu binden. Weitere Anweisungen finden Sie unter Binden des Zertifikats an die Website.

Selbstsignierte Zertifikate

Die Erstellung eines selbstsignierten Zertifikats sollte nicht als zulässige Option für eine Produktionsumgebung erachtet werden, da dies zu unerwarteten Ergebnissen führt und die Benutzerfreundlichkeit des Portals beeinträchtigt.

Ein SSL-Zertifikat, das nur vom Besitzer der Website signiert wird, wird als selbstsigniertes Zertifikat bezeichnet. Selbstsignierte Zertifikate werden normalerweise in Websites verwendet, die nur Benutzern im internen Netzwerk (LAN) der Organisation zur Verfügung stehen. Wenn Sie mit einer Website außerhalb Ihres eigenen Netzwerks kommunizieren, die ein selbstsigniertes Zertifikat verwendet, haben Sie keine Möglichkeit, zu überprüfen, ob es sich bei der Site, die das Zertifikat ausgibt, tatsächlich um die Site handelt, die sie vorgibt zu sein. Sie könnten tatsächlich mit einem bösartigen Angreifer kommunizieren, der ein Risiko für Ihre Daten darstellt.

Wenn Sie das Portal zunächst einrichten, können Sie ein selbstsigniertes Zertifikat für anfängliche Tests verwenden, um schnell zu überprüfen, ob die Installation erfolgreich ausgeführt wurde. Wenn Sie jedoch ein selbstsigniertes Zertifikat verwenden, sollten Sie berücksichtigen, dass beim Testen Folgendes auftreten kann:

  • Webbrowser- und ArcGIS for Desktop-Warnungen zu einer nicht vertrauenswürdigen Site. Wenn ein Webbrowser auf ein selbstsigniertes Zertifikat trifft, zeigt er in der Regel eine Warnung an, und fordert Sie auf, zu bestätigen, dass Sie zu der Site weitergeleitet werden möchten. Viele Browser zeigen Warnsymbole oder eine rot markierte Adressleiste an, so lange Sie das selbstsignierte Zertifikat verwenden. Diese Art von Warnungen sind typisch, wenn Sie das Portal mit einem selbstsignierten Zertifikat konfigurieren.
  • Ein Verbund-Service kann im Map Viewer des Portals nicht geöffnet werden, dem Portal kann kein gesichertes Service-Element hinzugefügt werden, die Anmeldung bei ArcGIS Server Manager auf einem Verbundserver kann nicht durchgeführt werden und es kann keine Verbindung mit dem Portal über Esri Maps for Office hergestellt werden.
  • Unerwartetes Verhalten beim Drucken von gehosteten Services und beim Zugreifen auf das Portal über Client-Anwendungen.
  • Die Anmeldung beim Portal über Esri Maps for Office ist nicht möglich, es sei denn, das selbstsignierte Zertifikat wird im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen auf dem Computer installiert, auf dem Esri Maps for Office ausgeführt wird.
Vorsicht:

Die oben aufgeführte Liste der Probleme, die im Zusammenhang mit der Verwendung eines selbstsignierten Zertifikats auftreten, erhebt keinen Anspruch auf Vollständigkeit. Es wird empfohlen, ein Domänenzertifikat oder ein CA-signiertes Zertifikat zu verwenden, um das Portal vollständig zu testen und bereitzustellen.

Erstellen eines selbstsignierten Zertifikats in IIS

Führen Sie in IIS Manager die folgenden Schritte aus, um ein selbstsigniertes Zertifikat zu erstellen:

  1. Wählen Sie im Fenster Verbindungen Ihren Server in der Strukturansicht aus, und doppelklicken Sie auf Serverzertifikate.

    Das Symbol "Serverzertifikate" in IIS Manager

  2. Klicken Sie im Fenster Aktionen auf Selbstsigniertes Zertifikat erstellen.

    Erstellen von Links für selbstsignierte Zertifikate in IIS Manager

  3. Geben Sie einen benutzerfreundlichen Namen für das neue Zertifikat ein, und klicken Sie auf OK.

Der letzte Schritt besteht darin, das selbstsignierte Zertifikat an den SSL-Port 443 zu binden. Weitere Anweisungen finden Sie unter Binden des Zertifikats an die Website.

Binden des Zertifikats an die Website

Nachdem Sie ein SSL-Zertifikat erstellt haben, müssen Sie es an die Website binden, auf der Web Adaptor gehostet wird. Binden bezeichnet den Prozess der Konfiguration des SSL-Zertifikats für die Verwendung von Port 443 auf der Website. Die Anweisungen zum Binden eines Zertifikats an die Website ist je nach Plattform und Version des Webservers unterschiedlich. Weitere Anweisungen erhalten Sie von Ihrem Systemadministrator oder in der Dokumentation Ihres Webservers. Nachstehend finden Sie beispielsweise die Schritte zum Binden eines Zertifikats in IIS.

Binden eines Zertifikats an 443 in IIS

Führen Sie in IIS Manager die folgenden Schritte aus, um ein Zertifikat an den SSL-Port 443 zu binden:

  1. Wählen Sie Ihre Site in der Strukturansicht und im Fenster Aktionen aus, und klicken Sie auf Bindungen.
    • Wenn Port 443 in der Liste der Bindungen nicht verfügbar ist, klicken Sie auf Hinzufügen. Wählen Sie aus der Dropdown-Liste Typ den Eintrag HTTPS aus. Lassen Sie den Port auf 443 eingestellt.

      Liste der Site-Bindungen in IIS Manager

    • Wenn Port 443 aufgelistet ist, wählen Sie den Port aus der Liste aus, und klicken Sie auf Bearbeiten.
  2. Wählen Sie in der Dropdown-Liste SSL-Zertifikat den Namen des Zertifikats aus, und klicken Sie auf OK.

    Neue Bindung in IIS Manager

Testen der Site

Nachdem Sie das Zertifikat an die Website gebunden haben, können Sie Web Adaptor für die Verwendung mit dem Portal konfigurieren. Der Zugriff auf die Konfigurationsseite von Web Adaptor muss über eine HTTPS-URL wie https://webadaptor.domain.com/arcgis/webadaptor erfolgen.

Nachdem Sie Web Adaptor konfiguriert haben, sollten Sie testen, ob SSL ordnungsgemäß funktioniert, indem Sie eine HTTPS-Anforderung an die Portal-Website senden, beispielsweise https://webadaptor.domain.com/arcgis/home. Wenn Sie einen Test mit einem selbstsignierten Zertifikat durchführen, schließen Sie die Browser-Warnungen zu nicht vertrauenswürdigen Verbindungen. Dazu muss in der Regel eine Ausnahme für Ihren Browser hinzugefügt werden, damit diese die Kommunikation mit der Site zulässt, die ein selbstsigniertes Zertifikat verwendet.

Weitere Informationen zum Testen der Site mit SSL finden Sie in den Anweisungen von Microsoft unter Einrichten von SSL in IIS. Weitere Informationen zum Verwenden von SSL in Ihrer Portal-Bereitstellung finden Sie unter Sicherheitsempfehlungen.