Para proteger la comunicación de red entre la organización de ArcGIS Web Adaptor y ArcGIS Enterprise, use el protocolo HTTPS.
El protocolo HTTPS es una tecnología estándar de seguridad que se utiliza para establecer un vínculo cifrado entre un servidor web y un cliente web. HTTPS facilita a la red segura la comunicación para identificar y autenticar el servidor además de garantizar la protección de la vida privada y la integridad de los datos transmitidos. Dado que HTTPS impide las escuchas o la manipulación de la información enviada por la red, debe ser utilizado con un nombre de usuario o mecanismo de autenticación y sobre cualquier red en que la comunicación que contenga información confidencial.
Nota:
Es adecuado usar el puerto 443 HTTPS predeterminado para la gran mayoría de implementaciones. En raras ocasiones, una instancia de ArcGIS Web Adaptor no puede usar el puerto 443 en su servidor web por razones específicas de la organización. Si este es el caso de su organización, consulte Usar puertos no predeterminados para ArcGIS Web Adaptor del portal, que detalla pasos adicionales para configurar una alternativa.
Para habilitar HTTPS en un servidor web, se requiere un certificado de servidor que contenga una clave pública y privada. Cada servidor web tiene su propio método para importar o hacer referencia a un certificado en un agente de escucha HTTPS.
Asegúrese también de que su servidor web esté configurado para ignorar certificados de cliente para acceder a servicios seguros a través de HTTPS, a menos que la autenticación de nivel web a través de autenticación de certificado de cliente basada en PKI esté configurada.
Crear u obtener un certificado de servidor
Para crear una conexión HTTPS entre ArcGIS Web Adaptor y la organización, el servidor web necesita un certificado de servidor. Un certificado es un archivo digital que contiene información sobre la identidad del servidor web. También contiene la codificación técnica a utilizar a la hora de establecer un canal seguro entre la organización y el servidor web. El propietario del sitio web debe crear y firmar digitalmente un certificado. Hay tres tipos de certificados: firmados por una entidad emisora de certificados, de dominio y autofirmados, que se explican a continuación.
certificados firmados por una autoridad certificadora
Los certificados firmados por una autoridad certificadora (CA) independiente aseguran a los clientes que la identidad del sitio web se ha verificado. Una autoridad certificadora generalmente es una tercera parte de confianza que puede dar fe de la autenticidad de un sitio web. Si un sitio web es digno de confianza, la autoridad certificadora añade su propia firma digital al certificado autofirmado de dicho sitio web. Esto garantiza a los clientes Web que la identidad del sitio web se ha verificado.
Utilice los certificados firmados por una autoridad certificadora (CA) en sistemas de producción, sobre todo si a la organización de ArcGIS Enterprise van a acceder usuarios externos a la organización.
Cuando se utiliza un certificado emitido por una autoridad de certificación conocida, la comunicación segura entre el servidor y el cliente web se produce automáticamente sin que el administrador de la organización o los clientes que acceden a ella tengan que realizar ninguna acción especial. No hay ningún comportamiento imprevisto ni mensaje de advertencia que se muestre en el navegador web, dado que la autoridad certificadora ha verificado el sitio web.
Certificados de dominio
Si la organización está protegida por un firewall y no puede utilizar un certificado firmado por una autoridad certificadora, puede utilizar un certificado de domino. Un certificado de dominio es un certificado interno firmado por la autoridad certificadora de su organización. Utilizar un certificado de dominio le ayuda a reducir el coste de la emisión de certificados y facilita la implementación de los certificados, ya que estos se pueden generar en la organización para un uso interno de confianza.
Los usuarios de su dominio no observarán ninguno de los mensajes de advertencia o comportamiento imprevisto que suelen estar asociados a los certificados autofirmados, dado que el sitio web se ha verificado mediante el certificado de dominio. Sin embargo, los certificados de dominio no son validados por una autoridad de certificación externa, lo que significa que los usuarios que visiten su sitio desde fuera de su dominio no podrán verificar que su certificado representa a la parte que dice representar. Los usuarios externos verán advertencias en el navegador sobre que el sitio no es de confianza, lo que puede llevarles a pensar que se están comunicando con una parte maliciosa y ser rechazados de su sitio.
Certificados autofirmados
Un certificado firmado solo por el propietario de la página web se denomina certificado autofirmado. Los certificados autofirmados se utilizan comúnmente en sitios web que solo están disponibles para los usuarios en el interior de la organización de la red (LAN). Si se comunica con un sitio web que está fuera de su propia red y que utiliza un certificado autofirmado, no tendrá ninguna forma de comprobar que el sitio que ha emitido el certificado es quien pretende ser. Podría estar comunicándose de hecho con alguien malintencionado, con el consiguiente riesgo para la información.
Crear un certificado autofirmado no debe considerarse una opción válida para un entorno de producción, ya que llevará a resultados imprevistos y a una experiencia deficiente para todos los usuarios de la organización.
Cuando configure la organización, puede utilizar un certificado autofirmado para realizar pruebas iniciales que le ayuden a verificar rápidamente que la configuración se ha realizado correctamente. Sin embargo, si utiliza un certificado autofirmado, experimentará lo siguiente cuando realice las pruebas:
- Al acceder a la organización desde un navegador web o un cliente de escritorio, recibirá avisos informándole de que el sitio no es de confianza.
Cuando un navegador web encuentra un certificado autofirmado, normalmente muestra una advertencia y pide al usuario que confirme que quiere acceder al sitio. Muchos navegadores muestran iconos de advertencia o un color rojo en la barra de dirección mientras se usa el certificado autofirmado. Espere ver este tipo de advertencias si configura la organización con un certificado autofirmado.
- No puede abrir un servicio federado en un visor de mapas, agregar un elemento de servicio protegido a la organización, iniciar sesión en ArcGIS Server Manager en un servidor federado ni conectarse a la organización desde ArcGIS for Office.
Para poder iniciar sesión desde ArcGIS for Office, instale el certificado autofirmado en el almacén de certificados Entidades emisoras de certificados raíz de confianza en el equipo que ejecuta ArcGIS for Office.
- Es posible que experimente un comportamiento inesperado al imprimir servicios alojados y al acceder a la organización desde aplicaciones cliente.
Precaución:
La lista anterior de los problemas que se experimentan al usar un certificado autofirmado no es exhaustiva. Se recomienda usar un certificado de dominio o un certificado firmado por una autoridad certificadora para probar e implementar por completo una organización de ArcGIS Enterprise.
Crear un agente de escucha HTTPS
La capacidad de una aplicación para escuchar en puertos con privilegios (1 a 1023) suele estar restringida a aquellos procesos ejecutados por el usuario raíz. Existen varias maneras de evitar ejecutar el servidor Web como usuario raíz. A continuación, se muestran algunos ejemplos:
- Agregar la capacidad CAP_NET_BIND_SERVICE al archivo de unidad de servicio o definirla en el binario de la aplicación.
- Utilizar el paquete authbind para permitir que un proceso o conjunto de procesos escuchen en un puerto concreto.
- Ejecutar el agente de escucha del servidor web en un puerto sin privilegios y utilizar reglas de firewall para redirigir los paquetes enviados a los puertos HTTP/HTTPS estándar (80/443) a puertos sin privilegios (por ejemplo, 8080/8443).
Para obtener más información, consulte la documentación de su servidor web.
Al crear un agente de escucha HTTPS, el usuario que ejecute el servidor web requerirá permiso para acceder al certificado de servidor utilizado para las comunicaciones TLS en el puerto específico. Si el agente de escucha HTTP es funcional, pero HTTPS no está disponible, el registro del servidor web indicará el motivo por el que el listener no pudo vincularse al puerto.
Probar el sitio
Después de obtener o crear un certificado vinculado al puerto 443, configure Web Adaptor para su uso con la organización. Debe acceder a la página de configuración ArcGIS Web Adaptor utilizando una URL HTTPS como https://webadaptorhost.domain.com/webadaptorname/webadaptor.
Después de configurar Web Adaptor, compruebe que HTTPS funciona correctamente realizando una solicitud HTTPS a la organización, por ejemplo, https://webadaptorhost.domain.com/webadaptorname/home. Si está realizando una prueba con un certificado autofirmado, ignore las advertencias del navegador sobre las conexiones que no son de confianza. Para ello, suele ser necesario agregar una excepción al navegador para que le permita comunicarse con el sitio que utiliza un certificado autofirmado.