Verwenden Sie das HTTPS-Protokoll, um die Netzwerkkommunikation zwischen ArcGIS Web Adaptor und der ArcGIS Enterprise-Organisation zu sichern.
Das HTTPS-Protokoll ist eine Standard-Sicherheitstechnologie, die zum Einrichten einer verschlüsselten Verbindung zwischen einem Webserver und einem Webclient verwendet wird. HTTPS sorgt für eine sichere Netzwerkkommunikation, indem der Server identifiziert und authentifiziert und der Datenschutz sowie die Integrität aller übertragenen Daten sichergestellt wird. Da HTTPS das Abhören oder Manipulieren von im Netzwerk versendeten Informationen verhindert, sollte es in jedem Anmeldungs- oder Authentifizierungsmechanismus sowie für das gesamte Netzwerk verwendet werden, in dem die Kommunikation vertrauliche oder proprietäre Informationen enthält.
Hinweis:
Der Standard-Port für HTTPS-Verbindungen 443 ist für die meisten Bereitstellungen geeignet. In einigen seltenen Fällen kann Port 443 auf dem Webserver aus organisationsspezifischen Gründen von der ArcGIS Web Adaptor-Instanz nicht verwendet werden. Sollte dies für Ihre Organisation zutreffen, erfahren Sie unter Verwenden von Nicht-Standard-Ports für ArcGIS Web Adaptor im Portal, mit welchen zusätzlichen Schritten ein Workaround konfiguriert werden kann.
Zum Aktivieren von HTTPS auf einem Webserver ist ein Serverzertifikat erforderlich, das einen öffentlichen und einen privaten Schlüssel enthält. Für jeden Webserver gibt es eine eigene Methode zum Importieren oder Referenzieren eines Zertifikats in einem HTTPS-Listener.
Stellen Sie außerdem sicher, dass Ihr Webserver Clientzertifikate für den Zugriff auf sichere Services über HTTPS ignoriert, sofern keine Authentifizierung auf Webebene über PKI konfiguriert ist.
Erstellen oder Abrufen eines Serverzertifikats
Um eine HTTPS-Verbindung zwischen ArcGIS Web Adaptor und der Organisation herzustellen, benötigt der Webserver ein Serverzertifikat. Ein Zertifikat ist eine digitale Datei, die Informationen zur Identität des Webservers enthält. Sie enthält außerdem die Verschlüsselungstechnik, die verwendet wird, wenn ein sicherer Kanal zwischen dem Webserver und der Organisation hergestellt wird. Ein Zertifikat muss vom Besitzer der Website erstellt und digital signiert werden. Es gibt drei Typen von Zertifikaten, die nachstehend erläutert werden: von der Zertifizierungsstelle signierte Zertifikate, Domänenzertifikate und selbstsignierte Zertifikate.
Von der Zertifizierungsstelle (CA) signierte Zertifikate
Zertifikate, die von einer unabhängigen Zertifizierungsstelle signiert wurden, garantieren Clients, dass die Identität der Website überprüft wurde. Eine Zertifizierungsstelle ist normalerweise ein vertrauenswürdiger Drittanbieter, der die Authentizität einer Website bestätigen kann. Wenn eine Website vertrauenswürdig ist, fügt die Zertifizierungsstelle dem selbstsignierten Zertifikat dieser Website eine eigene digitale Signatur hinzu. Auf diese Weise wird Webclients garantiert, dass die Identität der Website überprüft wurde.
Verwenden Sie von einer Zertifizierungsstelle (CA) signierte Zertifikate für Produktionssysteme, insbesondere dann, wenn Benutzer außerhalb Ihrer Organisation auf die ArcGIS Enterprise-Organisation zugreifen.
Bei Verwendung eines Zertifikats, das von einer bekannten Zertifizierungsstelle ausgestellt wurde, findet die sichere Kommunikation zwischen dem Server und dem Webclient automatisch statt, ohne dass eine spezielle Aktion durch den Organisationsadministrator oder darauf zugreifende Clients erforderlich ist. Im Webbrowser liegt kein unerwartetes Verhalten vor, bzw. es wird keine Warnmeldung angezeigt, da die Website durch die Zertifizierungsstelle überprüft wurde.
Domänenzertifikate
Wenn sich die Organisation hinter einer Firewall befindet und kein von einer Zertifizierungsstelle signiertes Zertifikat verwendet werden kann, können Sie ein Domänenzertifikat verwenden. Ein Domänenzertifikat ist ein internes Zertifikat, das von der Zertifizierungsstelle einer Organisation signiert wird. Durch die Verwendung eines Domänenzertifikats können Kosten für die Ausstellung von Zertifikaten reduziert und die Bereitstellung von Zertifikaten vereinfacht werden, da sie innerhalb der Organisation zur vertrauenswürdigen internen Verwendung erstellt werden können.
Innerhalb Ihrer Domäne kommt es weder zu unerwartetem Verhalten noch zu Warnmeldungen, wie dies normalerweise bei einem selbstsignierten Zertifikat der Fall ist, da die Website durch das Domänenzertifikat überprüft wurde. Domänenzertifikate werden jedoch nicht durch eine externe Zertifizierungsstelle überprüft, d. h. Benutzer, die Ihre Site von außerhalb Ihrer Domäne besuchen, können nicht überprüfen, ob es sich bei dem Zertifikat um das Zertifikat handelt, das es vorgibt zu sein. Externen Benutzern werden Browser-Warnungen angezeigt, dass die Site nicht vertrauenswürdig ist, wodurch sie den Eindruck gewinnen können, mit einem bösartigen Angreifer zu kommunizieren, und von Ihrer Site weggeleitet werden.
Selbstsignierte Zertifikate
Ein Zertifikat, das nur vom Besitzer der Website signiert wird, wird als selbstsigniertes Zertifikat bezeichnet. Selbstsignierte Zertifikate werden normalerweise in Websites verwendet, die nur Benutzern im internen Netzwerk (LAN) der Organisation zur Verfügung stehen. Wenn Sie mit einer Website außerhalb Ihres eigenen Netzwerks kommunizieren, die ein selbstsigniertes Zertifikat verwendet, haben Sie keine Möglichkeit, zu überprüfen, ob es sich bei der Site, die das Zertifikat ausgibt, um die Site handelt, die sie vorgibt zu sein. Es kann sein, dass Sie mit einem bösartigen Angreifer kommunizieren, der ein Risiko für Ihre Daten darstellt.
Die Erstellung eines selbstsignierten Zertifikats sollte nicht als zulässige Option für eine Produktionsumgebung erachtet werden, da dies zu unerwarteten Ergebnissen führt und die Benutzerfreundlichkeit der Organisation beeinträchtigt.
Bei der Einrichtung der Organisation können Sie ein selbstsigniertes Zertifikat verwenden, um die Organisation bei Inbetriebnahme zu testen. So lässt sich schnell überprüfen, ob die Konfiguration erfolgreich ausgeführt wurde. Wenn Sie jedoch ein selbstsigniertes Zertifikat verwenden, kann beim Testen Folgendes auftreten:
- Beim Zugriff auf die Organisation über einen Webbrowser oder Desktop-Client erhalten Sie Warnungen, dass die Site nicht vertrauenswürdig ist.
Wenn ein Webbrowser ein selbstsigniertes Zertifikat erkennt, zeigt er in der Regel eine Warnung an, und fordert Sie auf, zu bestätigen, dass Sie zu der Site weitergeleitet werden möchten. Viele Browser zeigen Warnsymbole oder eine rot markierte Adressleiste an, so lange Sie das selbstsignierte Zertifikat verwenden. Diese Art von Warnungen sind zu erwarten, wenn Sie die Organisation mit einem selbstsignierten Zertifikat konfigurieren.
- Hierbei ist es nicht möglich, einen Verbundservice in einem Map Viewer zu öffnen, ein gesichertes Service-Element zur Organisation hinzuzufügen, sich auf einem Verbundserver bei ArcGIS Server Manager anzumelden oder eine Verbindung von ArcGIS for Office zur Organisation herzustellen.
Damit Sie sich von ArcGIS for Office aus anmelden können, installieren Sie das selbstsignierte Zertifikat im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen auf dem Computer, auf dem ArcGIS for Office ausgeführt wird.
- Beim Drucken von gehosteten Services und beim Zugreifen auf die Organisation über Client-Anwendungen kann es zu unerwartetem Verhalten kommen.
Vorsicht:
Die oben aufgeführte Liste der Probleme, die im Zusammenhang mit der Verwendung eines selbstsignierten Zertifikats auftreten, erhebt keinen Anspruch auf Vollständigkeit. Es wird empfohlen, ein Domänenzertifikat oder ein von einer Zertifizierungsstelle signiertes Zertifikat zu verwenden, um eine ArcGIS Enterprise-Organisation vollständig zu testen und bereitzustellen.
Erstellen eines HTTPS-Listeners
Die Fähigkeit einer Anwendung zum Überwachen privilegierter Ports (1 bis 1023) ist in der Regel auf die vom Root-Benutzer ausgeführten Prozesse beschränkt. Es gibt mehrere Möglichkeiten, das Ausführen des Webservers als Root-Benutzer zu vermeiden. Nachfolgend finden Sie einige Beispiele:
- Fügen Sie der Service-Unit-Datei oder dem entsprechenden Befehlssatz in der Binärdatei die Funktion CAP_NET_BIND_SERVICE hinzu.
- Verwenden Sie das authbind-Paket, um das Überwachen eines bestimmten Ports durch einen oder mehrere Prozesse zuzulassen.
- Führen Sie den Webserver-Listener an einem nicht privilegierten Port aus, und verwenden Sie Firewall-Regeln, um die an die HTTP-/HTTPS-Standardports (80/443) gesendeten Pakete an nicht privilegierte Ports (z. B. 8080/8443) umzuleiten.
Weitere Informationen finden Sie in der Dokumentation Ihres Webservers.
Beim Erstellen eines HTTPS-Listeners benötigt der Benutzer, der den Webserver ausführt, die Berechtigung zum Zugriff auf das Serverzertifikat, das für die TLS-Kommunikation an dem betreffenden Port verwendet wird. Wenn der HTTP-Listener funktionsfähig, HTTPS jedoch nicht verfügbar ist, wird im Protokoll des Webservers angegeben, warum der Listener nicht an den Port gebunden werden konnte.
Testen der Site
Nachdem Sie ein an Port 443 gebundenes Zertifikat erhalten oder erstellt haben, konfigurieren Sie den Web Adaptor für die Verwendung mit der Organisation. Der Zugriff auf die Konfigurationsseite von ArcGIS Web Adaptor muss über eine HTTPS-URL wie https://webadaptorhost.domain.com/webadaptorname/webadaptor erfolgen.
Nachdem Sie Web Adaptor konfiguriert haben, testen Sie, ob HTTPS ordnungsgemäß funktioniert, indem Sie eine HTTPS-Anforderung an die Organisation senden, z. B. https://webadaptorhost.domain.com/webadaptorname/home. Wenn Sie einen Test mit einem selbstsignierten Zertifikat durchführen, schließen Sie die Browser-Warnungen zu nicht vertrauenswürdigen Verbindungen. Dazu muss in der Regel eine Ausnahme für Ihren Browser hinzugefügt werden, damit diese die Kommunikation mit der Site zulässt, die ein selbstsigniertes Zertifikat verwendet.