HTTPS es un medio de cifrar las comunicaciones que llegan a un servidor web y que salen de él. HTTPS permite también que una aplicación cliente confirme la identidad del servidor web. Cuando se usa HTTPS, cada servidor web en el que HTTPS está habilitado debe enviar un certificado a los clientes. El certificado contiene una declaración de identidad (gis.mycity.gov) y una clave pública que el cliente puede usar para enviar la información cifrada al servidor web.
A menudo, Portal for ArcGIS transmite información que es necesario cifrar. Por este motivo, HTTPS siempre está habilitado en el portal. Es recomendable que el certificado utilizado haya sido firmado por una autoridad certificadora corporativa (interna) o comercial (CA). El portal se suministra con un certificado autofirmado. Un certificado autofirmado significa que un cliente no puede verificar la identidad del servidor. Al reemplazar el certificado autofirmado por el certificado firmado por una autoridad certificadora, mejora considerablemente la seguridad de la implementación.
Hay dos formas de usar un certificado firmado por una entidad de certificación con el portal:
- Generar un nuevo certificado firmado por una autoridad certificadora: genere una solicitud de firma de certificado (CSR, Certificate Signing Request), haga que la firme la autoridad certificadora e impórtela en el portal.
- Usar un certificado firmado por una autoridad certificadora: si ya tiene un certificado asignado por una autoridad certificadora asignado al equipo del portal, impórtelo en el portal.
Nota:
Estos flujos de trabajo se aplican a la comunicación HTTPS con Portal for ArcGIS a través del puerto 7443 únicamente. Para generar o importar un certificado firmado por una autoridad certificadora para el web adaptor, consulte la documentación para el servidor web donde está instalado el web adaptor.
Para obtener instrucciones completas sobre estos procesos, consulte los pasos en las secciones siguientes.
Generar un nuevo certificado firmado por una autoridad certificadora
Puede habilitar HTTPS usando un nuevo certificado firmado por una entidad de certificación corporativa (interna) o comercial. Estos son los pasos:
- Generar un nuevo certificado
- Solicitar a una Autoridad certificadora que firme su certificado
- Configurar Portal for ArcGIS para que utilice el certificado firmado por una autoridad certificadora
- Importar el certificado raíz de la Autoridad certificadora en el almacén de certificados de Windows
- Verificar que se puede acceder al portal usando HTTPS
Generar un nuevo certificado
- Inicie sesión en ArcGIS Portal Directory como administrador de su organización. La dirección URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Haga clic en Security > SSLCertificates > Generate.
- En la página Generate Certificate, introduzca la siguiente información:
- Alias: nombre único que identifica el nombre del certificado (por ejemplo, portalcert).
- Key Algorithm: RSA (el valor predeterminado) o DSA.
- Key Size: especifica el tamaño en bits utilizado cuando se generan las claves criptográficas empleadas para crear el certificado. Cuanto mayor sea el tamaño de la clave, más difícil será descifrarla; sin embargo, el tiempo para descifrar datos cifrados aumenta con el tamaño de la clave. Para RSA, el tamaño recomendado para la clave es 2.048 o superior. Para DSA, el tamaño de la clave puede estar comprendido entre 512 y 1.024.
- Algoritmo de firma: use el valor predeterminado (SHA256withRSA). Si su organización tiene restricciones de seguridad específicas, se puede utilizar uno de los siguientes algoritmos con DSA: SHA384withRSA, SHA512withRSA, SHA1withRSA,SHA1withDSA.
- Nombre común: este campo es opcional y se usa para la compatibilidad con versiones anteriores de navegadores web y software. Se recomienda utilizar el nombre de dominio completo de su equipo del portal como nombre común.
- Unidad de organización: nombre de departamento que resulte intuitivo para un usuario del sitio (por ejemplo, GIS Department).
- Organization: el nombre de su organización (por ejemplo, Esri).
- City or Locality: nombre de su ciudad o localidad (por ejemplo, Redlands).
- State or Province: nombre del estado o la provincia (por ejemplo, California).
- Country Code: especifique el código de dos letras del país en el que reside su organización (por ejemplo, US).
- Validez: número de días durante los que el certificado será válido (por ejemplo, 365).
- Nombre alternativo de sujeto: el nombre de sujeto alterativo (SAN) se utiliza para validar que el certificado SSL presentado por el sitio web al que se accede fue emitido por ese sitio web.
Si se deja vacío este parámetro, el nombre de dominio totalmente calificado del equipo local se usa como valor predeterminado. El campo SAN admite varios valores; sin embargo, debe contener el nombre de dominio totalmente calificado del sitio web. El valor del parámetro SAN no puede contener espacios.
Utilizando SAN, un certificado permite usar distintas direcciones URL para acceder al mismo sitio web. Por ejemplo, las direcciones URL https://www.esri.com, https://esri y https://10.60.1.16 se pueden usar para acceder al mismo sitio si el certificado se crea utilizando los valores siguientes de los parámetros:
CN=www.esri.com
SAN=DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- Haga clic en Generar. Aparece un vínculo al certificado en la página de los certificados.
Solicitar a una Autoridad certificadora que firme su certificado
Para que los navegadores web confíen en su certificado, debe ser verificado y corroborado por una autoridad certificadora como su organización, Verisign o Thawte.
- En la página de los certificados, haga clic en el nombre del certificado.
- Haga clic en GenerateCSR. En la página Generate CSR, copie el contenido de CSR y péguelo en un archivo. Guarde el archivo con la extensión .csr (por ejemplo, portalcert.csr).
- Presentar la CSR a una autoridad certificadora. Se recomienda obtener un certificado Distinguished Encoding Rules (DER) o codificado en base 64. Si la CA solicita el tipo de servidor web al cual está destinado el certificado, especifique Otro/Desconocido o Servidor de aplicaciones Java. Después de verificar su identidad, la autoridad certificadora le enviará un archivo con la extensión .crt o .cer.
- Guarde el certificado firmado recibido de la autoridad certificadora en una ubicación del equipo del portal. Además del certificado firmado, la autoridad certificadora expedirá un certificado raíz. Guarde el certificado raíz de la autoridad certificadora en el equipo del portal.
- Inicie sesión en ArcGIS Portal Directory como administrador de su organización. La dirección URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Haga clic en Security > SSLCertificates > Import Root or Intermediate Certificate.
- Examine la ubicación del certificado raíz proporcionado por la autoridad certificadora. Haga clic en Importar. Si la autoridad certificadora emitió certificados intermedios adicionales, importe esos certificados también. Portal for ArcGIS se reiniciará automáticamente por cada certificado importado. No importe el certificado firmado.
- Haga clic en Security > SSLCertificates.
- Haga clic en el nombre del certificado que ha generado en la sección anterior (por ejemplo, portalcert).
- Haga clic en Import Signed Certificate y vaya a la ubicación del certificado firmado recibido de la autoridad certificadora.
- Haga clic en Importar. El certificado que creó en la sección anterior se reemplaza con el certificado firmado por la autoridad certificadora.
Configurar Portal for ArcGIS para que utilice el certificado firmado por una autoridad certificadora
- Inicie sesión en ArcGIS Portal Directory como administrador de su organización. La dirección URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Haga clic en Security > SSLCertificates > Update.
- En el campo Web server SSL Certificate, introduzca el alias del certificado firmado por la autoridad certificadora. El alias especificado debe coincidir con el alias del certificado que se reemplazó por el certificado firmado por la autoridad certificadora en la sección anterior.
- Haga clic en Actualizar.
El certificado firmado por la entidad de certificación se usará ahora para HTTPS.
Verificar que se puede acceder al portal usando HTTPS
Pruebe las siguientes direcciones URL para verificar que puede acceder al portal usando HTTPS: https://portalhost.domain.com:7443/arcgis/home.
Usar un certificado firmado por una autoridad certificadora
Si ya tiene un certificado emitido por una entidad de certificación corporativa (interna) o comercial, puede usarlo para habilitar HTTPS.
- Importar el certificado raíz de la autoridad certificadora
- Importar el certificado firmado por una autoridad certificadora
- Configurar Portal for ArcGIS para que utilice el certificado firmado por una autoridad certificadora
- Importar el certificado raíz de la Autoridad certificadora en el almacén de certificados de Windows
- Verificar que se puede acceder al portal usando HTTPS
Importar el certificado raíz de la autoridad certificadora
- Inicie sesión en ArcGIS Portal Directory como administrador de su organización. La dirección URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Haga clic en Security > SSLCertificates > Import Root or Intermediate Certificate.
- Examine la ubicación del certificado raíz proporcionado por la autoridad certificadora. Haga clic en Importar. Si la autoridad certificadora emitió certificados intermedios adicionales, importe esos certificados también. No importe el certificado firmado por la autoridad certificadora.
- Reinicie el servicio de Portal for ArcGIS.
Importar el certificado firmado por una autoridad certificadora
Precaución:
Para importar el certificado en el portal, el certificado y la clave privada asociada deben almacenarse en el formato PKCS#12, que se representa mediante un archivo con la extensión .p12 o .pfx.
- Haga clic en Security > SSLCertificates > Import Existing Server Certificate.
- En la página Import Existing Server Certificate, especifique la siguiente información:
- Contraseña del certificado: introduzca la contraseña para desbloquear el archivo que contiene el certificado.
- Alias: introduzca un nombre exclusivo que identifique fácilmente el certificado (por ejemplo, rootcert).
- Vaya a la ubicación del certificado firmado por la autoridad certificadora. Haga clic en Importar.
Configurar Portal for ArcGIS para que utilice el certificado firmado por una autoridad certificadora
- Haga clic en Security > SSLCertificates > Update.
- En el campo Web server SSL Certificate, introduzca el alias del certificado firmado por la autoridad certificadora.
- Haga clic en Actualizar.
El certificado firmado por la entidad de certificación existente se usará ahora para HTTPS.
Verificar que se puede acceder al portal usando HTTPS
Pruebe las siguientes direcciones URL para verificar que puede acceder al portal usando HTTPS: https://portalhost.domain.com:7443/arcgis/home.