Die gesamte über ein Computernetzwerk gesendete Kommunikation kann potenziell abgefangen, gelesen oder geändert werden. Zum Sichern der Netzwerkkommunikation wird die Verwendung von HTTPS empfohlen. HTTPS ist eine branchenübliche Standard-Sicherheitstechnologie, die zum Einrichten einer verschlüsselten Verbindung zwischen einem Webserver und einem Webclient (z. B. einem Webbrowser) verwendet wird. HTTPS sorgt für eine sichere Netzwerkkommunikation, indem der Server identifiziert und authentifiziert und der Datenschutz sowie die Integrität aller übertragenen Daten sichergestellt wird. Da HTTPS das Abhören oder Manipulieren von im Netzwerk versendeten Informationen verhindert, sollte es in jedem Anmeldungs- oder Authentifizierungsmechanismus sowie für das gesamte Netzwerk verwendet werden, in dem die Kommunikation vertrauliche oder proprietäre Informationen enthält.
Erstellung von Serverzertifikaten
Um eine HTTPS-Verbindung zwischen einem Webserver und einem Client herzustellen, benötigt der Webserver ein Serverzertifikat. Ein Zertifikat ist eine digitale Datei, die Informationen zur Identität des Webservers enthält. Sie enthält außerdem die Verschlüsselungstechnik, die verwendet wird, wenn ein sicherer Kanal zwischen dem Webserver und dem Client hergestellt wird. Ein Zertifikat muss vom Besitzer der Website erstellt und digital signiert werden. Es gibt drei Typen von Zertifikaten, von der Zertifizierungsstelle signierte, Domänen- und selbstsignierte Zertifikate, die weiter unten erläutert werden.
Von der Zertifizierungsstelle (CA) signierte Zertifikate
Von einer Zertifizierungsstelle (CA) signierte Zertifikate sollten für Produktionssysteme verwendet werden, insbesondere dann, wenn Benutzer außerhalb Ihrer Organisation auf die Bereitstellung des ArcGIS Server-Portals zugreifen. Wenn Ihr Server über das Internet aufgerufen werden kann, wird Clients außerhalb Ihrer Organisation durch die Verwendung eines von einer Zertifizierungsstelle signierten Zertifikats garantiert, dass die Identität der Website überprüft wurde.
Ein Zertifikat kann außer durch den Besitzer der Website auch durch eine unabhängige Zertifizierungsstelle (Independent Certificate Authority, CA) signiert werden. Eine CA ist normalerweise ein vertrauenswürdiger Drittanbieter, der die Authentizität einer Website bestätigen kann. Wenn eine Website vertrauenswürdig ist, fügt die Zertifizierungsstelle dem selbstsignierten Zertifikat dieser Website eine eigene digitale Signatur hinzu. Auf diese Weise wird Webclients garantiert, dass die Identität der Website überprüft wurde.
Beim Verwenden eines Zertifikats, das von einer bekannten Zertifizierungsstelle ausgestellt wurde, findet die sichere Kommunikation zwischen dem Server und dem Webclient automatisch statt, ohne dass eine spezielle Aktion des Benutzers erforderlich ist. Im Webbrowser wird keine Warnmeldung angezeigt, da die Website durch die CA überprüft wurde.
Ausführliche Beschreibungen finden Sie in den folgenden Themen:
Wenn Sie bereits über ein Zertifikat einer Zertifizierungsstelle (CA) verfügen, finden Sie unter Konfigurieren von ArcGIS Server mit einem vorhandenen Zertifikat einer Zertifizierungsstelle (CA) weitere Informationen.
Wenn Sie ein Zertifikat erstellen und dieses von einer Zertifizierungsstelle (CA) signieren lassen müssen, finden Sie unter Konfigurieren von ArcGIS Server mit einem neuen Zertifikat einer Zertifizierungsstelle (CA) weitere Informationen.
Wenn Sie ArcGIS Web Adaptor für die Weiterleitung von Anforderungen an Ihre Site verwenden, finden Sie unter Konfigurieren eines Zertifikats einer Zertifizierungsstelle (CA) für ArcGIS Server beim Zugriff über ArcGIS Web Adaptor weitere Informationen.
Domänenzertifikate
Wenn sich Ihr Server hinter einer Firewall befindet und kein von der Zertifizierungsstelle signiertes Zertifikat verwendet werden kann, ist ein Domänenzertifikat eine akzeptable Lösung. Ein Domänenzertifikat ist ein internes Zertifikat, das von der Zertifizierungsstelle einer Organisation signiert wird. Durch die Verwendung eines Domänenzertifikats können Kosten für die Ausstellung von Zertifikaten reduziert und die Bereitstellung von Zertifikaten vereinfacht werden, da sie schnell innerhalb der Organisation zur vertrauenswürdigen internen Verwendung erstellt werden können.
Innerhalb Ihrer Domäne kommt es weder zu unerwartetem Verhalten noch zu Warnmeldungen, wie dies normalerweise bei einem selbstsignierten Zertifikat der Fall ist, da die Website durch das Domänenzertifikat überprüft wurde. Domänenzertifikate werden jedoch nicht durch eine externe CA überprüft, d. h. Benutzer, die Ihre Site von außerhalb Ihrer Domäne besuchen, können nicht überprüfen, ob es sich bei dem Zertifikat tatsächlich um ein Zertifikat der angegebenen Organisation handelt. Externen Benutzern werden Browser-Warnungen angezeigt, dass die Site nicht vertrauenswürdig ist, wodurch sie den Eindruck gewinnen können, mit einem bösartigen Angreifer zu kommunizieren, und von Ihrer Site weggeleitet werden.
Wenn Sie ein Domänenzertifikat erstellen möchten, finden Sie unter Erstellen eines Domänenzertifikats weitere Informationen. Dieses Zertifikat wird von allen unterstützten Internetbrowsern als vertrauenswürdig eingestuft, da es den Parameter "Alternativer Name des Antragstellers" (Subject Alternative Name, SAN) enthält.
Selbstsignierte Zertifikate
Ein Zertifikat, das nur vom Besitzer der Website signiert wird, wird als selbstsigniertes Zertifikat bezeichnet. Selbstsignierte Zertifikate werden normalerweise in Websites verwendet, die nur Benutzern im internen Netzwerk (LAN) der Organisation zur Verfügung stehen. Da die Identität der Website nicht überprüft werden muss, wird durch das Verwenden eines selbstsignierten Zertifikats die sichere Netzwerkkommunikation innerhalb der Organisation sichergestellt.
Die Erstellung eines selbstsignierten Zertifikats sollte nicht als zulässige Option für eine Produktionsumgebung erachtet werden, da dies zu unerwarteten Ergebnissen führt und die Benutzerfreundlichkeit der Site beeinträchtigt.
Hinweis:
Ein Webclient, wie zum Beispiel ein Web-Browser, der mithilfe eines selbstsignierten Zertifikat eine Verbindung zu einer Website herstellt, zeigt eine Warnung an, die besagt, dass die Website nicht als vertrauenswürdige Website verifiziert werden konnte. Informationen zum Unterdrücken von Warnungen von selbstsignierten Zertifikaten finden Sie im Thema zum Unterdrücken von Warnungen von selbstsignierten Zertifikaten.
Ausführliche Beschreibungen finden Sie in den folgenden Themen:
Konfigurieren von ArcGIS Server mit dem standardmäßigen selbstsignierten Zertifikat
Konfigurieren von ArcGIS Server mit einem selbstsignierten Zertifikat