Die gesamte über ein Computernetzwerk gesendete Kommunikation kann potenziell abgefangen, gelesen oder geändert werden. Zum Sichern der Netzwerkkommunikation in ArcGIS Enterprise wird die Verwendung von HTTPS empfohlen und standardmäßig erzwungen.
HTTPS sorgt für die Verschlüsselung der Kommunikation zu und von einem Webserver. Hierdurch wird eine sichere Netzwerkkommunikation vereinfacht, indem der Webserver für jeden Webclient, der mit ihm kommuniziert, identifiziert und authentifiziert wird. Die Verwendung von HTTPS trägt dazu bei, den Schutz und die Integrität aller übertragenen Daten sicherzustellen.
Um eine HTTPS-Verbindung zwischen einem Webserver und einem Client herzustellen, benötigt der Webserver ein Serverzertifikat. Ein Zertifikat ist eine digitale Datei, die Informationen zur Identität des Webservers enthält. Sie enthält außerdem die Verschlüsselungstechnik, die verwendet wird, wenn ein sicherer Kanal zwischen dem Webserver und dem Client hergestellt wird. Ein Zertifikat muss vom Besitzer der Website erstellt und digital signiert werden.
Esri empfiehlt in Bezug auf Serverzertifikate verschiedene Best Practices. Diese Best Practices gelten für alle ArcGIS Server-Sites und das ArcGIS Enterprise-Portal, sollten jedoch ebenfalls für andere Komponenten Ihrer Bereitstellung in Betracht gezogen werden.
Ersetzen von selbstsignierten Zertifikaten durch von einer Zertifizierungsstelle signierte Zertifikate
Nach der Installation von ArcGIS Server und Portal for ArcGIS werden diese Komponenten automatisch mit selbstsignierten Zertifikaten konfiguriert. Diese Zertifikate, die nur vom Besitzer einer Website signiert werden, ermöglichen die HTTPS-Kommunikation, ohne dass zusätzliche Schritte erforderlich sind. Die meisten Webbrowser vertrauen den URLs Ihrer ArcGIS Enterprise-Bereitstellung jedoch zunächst nicht. Daher müssen Sie und Ihre Benutzer Browser-Warnungen unterdrücken, was verdächtig aussieht und zu Unsicherheiten führt.
Es empfiehlt sich, dass Sie Ihre Bereitstellung sobald wie möglich mit Zertifikaten konfigurieren, die von der Zertifizierungsstelle (Certificate Authority, CA) eines Drittanbieters signiert wurden. Von einer Zertifizierungsstelle signierte Zertifikate signalisieren dem Webbrowser Ihrer Benutzer, dass Ihre Sites vertrauenswürdig sind. Um ein solches Zertifikat zu erhalten, übermitteln Sie der Zertifizierungsstelle eine Zertifikatsignieranforderung.
Wenn Sie bereits über ein von einer Zertifizierungsstelle signiertes Zertifikat verfügen, können Sie ArcGIS Server mit diesem Zertifikat konfigurieren und es anschließend in das Portal importieren.
Sie können auch die Signierung eines selbstsignierten Zertifikats bei einer Zertifizierungsstelle beantragen, das neue Zertifikat in ArcGIS Server konfigurieren und es anschließend in das Portal importieren.
Hinweis:
Sicherstellen, dass sowohl Stamm- als auch Zwischenzertifikate vorhanden sind
Wenn eine Client-Anwendung ein von einer Zertifizierungsstelle signiertes Zertifikat überprüft, muss sie auch die Zertifizierungsstelle selbst überprüfen. Dies geschieht unter Verwendung des Stamm- und Zwischenzertifikats, die der Zertifizierungsstelle zugeordnet sind. Das Stammzertifikat stellt die Identität der Zertifizierungsstelle fest, und das Zwischenzertifikat bestärkt deren Vertrauenswürdigkeit für die Ausstellung von Anwenderzertifikaten, wie dem Ihren. Wenn Stamm- und Zwischenzertifikat vorhanden sind, können Browser und Client-Anwendungen darauf vertrauen, dass Ihr Zertifikat tatsächlich von einer gültigen Zertifizierungsstelle signiert wurde.
ArcGIS Enterprise vertraut automatisch den von vielen gängigen Zertifizierungsstellen signierten Stamm- und Zwischenzertifikaten. Wenn Ihre Organisation eine benutzerdefinierte Zertifizierungsstelle verwendet, oder wenn Sie ein bestimmtes Zwischenzertifkat besitzen, das Sie Ihrer Bereitstellung hinzufügen möchten, stehen Ihnen die importRootOrIntermediate-Operationen im ArcGIS Portal-Administratorverzeichnis und ArcGIS Server-Administratorverzeichnis zur Verfügung.
Einbeziehen eines SAN in Ihre Zertifikate
Einige Browser, einschließlich Google Chrome, vertrauen nur Zertifikaten, die (mindestens) einen SAN (Subject Alternative Name, Name des alternativen Antragstellers) enthalten. Wenn Ihre ArcGIS Enterprise-Bereitstellung mit Zertifikaten konfiguriert ist, die nicht über einen SAN-Wert verfügen, erhalten Benutzer, die auf Ihre Sites zugreifen, Warnungen bezüglich der Vertrauenswürdigkeit.
Von IT-Administratoren erstellte Zertifikate verfügen üblicherweise über mindestens einen SAN-Wert, aber mit dem Windows-Befehl makecert und der gebräuchlichen IIS Manager-Anwendung kann kein SAN konfiguriert werden. Sie sollten ein alternatives Werkzeug zum Generieren Ihrer Domänenzertifikate verwenden, die von der internen Zertifizierungsstelle Ihrer Organisation signiert werden.
Wenn Sie Ihre eigenen Domänenzertifikate unter Windows erstellen, wird von Esri ein Skript bereitgestellt, um ein Domänenzertifikat zu erstellen, das SAN-Werte enthält. Zertifikate, die mit diesem PowerShell-Skript generiert werden, können anschließend von Chrome und anderen Webbrowsern als vertrauenswürdig eingestuft werden.
Verstehen und Lösen des Problems der Nichtübereinstimmung beim Namen
Da ArcGIS Enterprise für mehrere Computer und sogar mehrere Domänen oder Subdomains bereitgestellt werden kann, ist es wichtig, die Ursache und mögliche Lösung des Problems der Nichtübereinstimmung beim Namen zu kennen. Dieses Problem tritt auf, wenn ein Benutzer die URL einer Site aufruft, die nicht mit dem allgemeinen Namen, bzw. einem SAN-Wert, der vom Zertifikat der Site bereitgestellt wurde, übereinstimmt. Mit anderen Worten: Wenn das von einer Webseite vorgewiesene Zertifikat für eine andere URL ausgestellt wurde, als diejenige, auf die der Benutzer zugreift, zeigt der Browser einen Fehler an.
Wie bei einem selbstsignierten Zertifikat hat der Benutzer die Möglichkeit, der URL trotz der Fehlermeldung zu vertrauen und sie aufzurufen. Für Benutzer, die Ihre Site nicht kennen, ist dies jedoch ein besorgniserregender Fehler, der außerdem lästig ist, wenn er häufiger vorkommt.
Als Best Practice empfiehlt es sich, jede neue Domäne und Subdomain, die in Ihrer Organisation verwendet wird, sofort Ihrem von einer Zertifizierungsstelle signierten Zertifikat hinzuzufügen. Mit diesem proaktiven Ansatz wird sichergestellt, dass die Benutzer keine Fehlermeldungen aufgrund der Nichtübereinstimmung beim Namen erhalten.
Angenommen, eine Agentur stellt ArcGIS Enterprise-Komponenten für die beiden Subdomains https://water.example.com und electricity.example.com bereit. Die Agentur verwendet ein von einer Zertifizierungsstelle signiertes Zertifikat mit SAN-Werten, die "water.example.com" und "electricity.example.com" entsprechen. Sie stellen eine neue Site unter https://recycling.example.com bereit. Der IT-Administrator sollte dann dem SAN-Parameter des Site-Zertifikats den Eintrag "recycling.example.com" hinzufügen.
Scannen nach Sicherheitsproblemen mithilfe von Esri Skripten
Um Sie beim Auffinden allgemeiner Sicherheitsrisiken innerhalb Ihrer ArcGIS Enterprise-Bereitstellung zu unterstützen, stellt Esri Skripte bereit, mit denen Sie überprüfen können, ob es Sicherheitsempfehlungen für Ihre Portal- und Server-Sites gibt. Die Skripte serverscan.py und portalscan.py wurden in die Software integriert und können jederzeit ausgeführt werden. Die mit den Skripten durchgeführten Untersuchungen beinhalten auch die Prüfung, ob für eine Komponente ein selbstsigniertes Zertifikat verwendet wird.
Es empfiehlt sich, die Scans kurz nach der Installation einzelner Komponenten, nach dem Upgrade auf eine neue Version und nach jeder wichtigen Änderung an der Bereitstellung oder deren IT-Komponenten durchzuführen. Beispielsweise sollten Sie das serverscan.py-Skript erneut ausführen, wenn Ihre Organisation vor kurzem ihre Serverzertifikate ersetzt oder die URLs einer Site geändert hat.