HTTPS es un medio de cifrar las comunicaciones que llegan a un servidor web y que salen de él. HTTPS permite también que una aplicación cliente confirme la identidad del servidor web. Cuando se usa HTTPS, cada servidor web en el que HTTPS está habilitado debe enviar un certificado a los clientes. El certificado contiene una declaración de identidad (gis.mycity.gov) y una clave pública que el cliente puede usar para enviar la información cifrada al servidor web.
A menudo, Portal for ArcGIS transmite información que es necesario cifrar. Por este motivo, HTTPS siempre está habilitado en el portal. Es recomendable que el certificado utilizado haya sido firmado por una autoridad certificadora corporativa (interna) o comercial (CA). El portal incluye un certificado autofirmado. Un certificado autofirmado significa que un cliente no puede verificar la identidad del servidor. Al reemplazar el certificado autofirmado por el certificado firmado por una autoridad certificadora, mejora considerablemente la seguridad de la implementación.
Hay dos formas de usar un certificado firmado por una entidad de certificación con el portal:
- Generar un nuevo certificado firmado por una autoridad certificadora: genere una solicitud de firma de certificado (CSR, Certificate Signing Request), haga que la firme la autoridad certificadora e impórtela en el portal.
- Usar un certificado firmado por una autoridad certificadora: si ya tiene un certificado asignado por una autoridad certificadora asignado al equipo del portal, impórtelo en el portal.
Nota:
Estos flujos de trabajo se aplican a la comunicación HTTPS con Portal for ArcGIS a través del puerto 7443 únicamente. Para generar o importar un certificado firmado por una autoridad certificadora para el web adaptor, consulte la documentación para el servidor web donde está instalado el web adaptor.
Para obtener instrucciones completas sobre estos procesos, consulte los pasos en las secciones siguientes.
Generar un nuevo certificado firmado por una autoridad certificadora
Puede habilitar HTTPS usando un nuevo certificado firmado por una entidad de certificación corporativa (interna) o comercial. Los pasos son los siguientes:
Generar un nuevo certificado
Para generar un nuevo certificado, siga los siguientes pasos:
- Inicie sesión en el Directorio de administrador del portal como administrador de su organización. La URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Haga clic en Security > SSLCertificates > Generate.
Nota:
Si su portal es de alta disponibilidad, en su lugar debe navegar a Equipos > [equipo] > Certificados SSL > Generar y, a continuación, repetir los siguientes pasos en cada equipo del portal. - En la página Generar certificado, introduzca la siguiente información:
- Alias: nombre único que identifica el nombre del certificado (por ejemplo, portalcert).
- Key Algorithm: RSA (el valor predeterminado) o DSA.
- Key Size: especifica el tamaño en bits utilizado cuando se generan las claves criptográficas empleadas para crear el certificado. Cuanto mayor sea el tamaño de la clave, más difícil será descifrarla; sin embargo, el tiempo para descifrar datos cifrados aumenta con el tamaño de la clave. Para RSA, el tamaño recomendado para la clave es 2.048 o superior. Para DSA, el tamaño de la clave puede estar comprendido entre 512 y 1.024.
- Algoritmo de firma: use el valor predeterminado (SHA256withRSA). Si su organización tiene restricciones de seguridad específicas, se puede utilizar uno de los siguientes algoritmos con DSA: SHA384withRSA, SHA512withRSA, SHA1withRSA o SHA1withDSA.
- Nombre común: este campo es opcional y se usa para la compatibilidad con versiones anteriores de navegadores web y software. Se recomienda utilizar el nombre de dominio completo de su equipo del portal como nombre común.
- Unidad de organización: nombre de departamento que resulte intuitivo para un usuario del sitio (por ejemplo, GIS Department).
- Organization: el nombre de su organización (por ejemplo, Esri).
- Ciudad o localidad: nombre de su ciudad o localidad (por ejemplo, Redlands).
- Estado o provincia: nombre del estado o la provincia (por ejemplo, California).
- Código de país: especifique el código de dos letras del país en el que reside su organización (por ejemplo, US).
- Validez: número de días durante los que el certificado será válido (por ejemplo, 365).
- Nombre alternativo de sujeto: el nombre de sujeto alterativo (SAN) se utiliza para validar que el certificado SSL presentado por el sitio web al que se accede fue emitido por ese sitio web.
Si se deja vacío este parámetro, el nombre de dominio totalmente calificado del equipo local se usa como valor predeterminado. El campo SAN admite varios valores; sin embargo, debe contener el nombre de dominio totalmente calificado del sitio web. El valor del parámetro SAN no puede contener espacios.
Utilizando SAN, un certificado permite usar distintas direcciones URL para acceder al mismo sitio web. Por ejemplo, las direcciones URL https://www.esri.com, https://esri, y https://10.60.1.16 se pueden usar para acceder al mismo sitio si el certificado se crea utilizando los valores siguientes de los parámetros:
CN=www.esri.com
SAN=DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- Haga clic en Generar. Aparece un vínculo al certificado en la página de los certificados.
Solicitar a una Autoridad certificadora que firme su certificado
Para que los navegadores web confíen en su certificado, debe ser verificado y corroborado por una autoridad certificadora como su organización, Verisign o Thawte.
- En la página de los certificados, haga clic en el nombre del certificado.
- Haga clic en GenerateCSR. En la página Generate CSR, copie el contenido de CSR y péguelo en un archivo. Guarde el archivo con la extensión .csr (por ejemplo, portalcert.csr).
- Envíe la CSR a una autoridad certificadora. Se recomienda obtener un certificado codificado de Reglas de codificación distinguida (DER) o Base64. Si la CA solicita el tipo de servidor web al cual está destinado el certificado, especifique Otro/Desconocido o Servidor de aplicaciones Java. Después de verificar su identidad, la autoridad certificadora le enviará un archivo con la extensión .crt o .cer.
- Guarde el certificado firmado recibido de la autoridad certificadora en una ubicación del equipo del portal. Además del certificado firmado, la autoridad certificadora expedirá un certificado raíz. Guarde el certificado raíz de la autoridad certificadora en el equipo del portal.
- Inicie sesión en el Directorio de administrador del portal como administrador de su organización. La URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Haga clic en Seguridad > Certificados SSL > Importar raíz o intermedio.
Nota:
Si su portal es de alta disponibilidad, en su lugar debe navegar a Equipos > [equipo] > Certificados SSL > Importar raíz o intermedio y, a continuación, repetir los siguientes pasos en cada equipo del portal. - Vaya a la ubicación del certificado raíz proporcionado por la CA y haga clic en Importar. Si la autoridad certificadora emitió certificados intermedios adicionales, importe esos certificados también. Portal for ArcGIS se reiniciará automáticamente por cada certificado importado. No importe el certificado firmado.
- Regrese a la página Certificados SSL.
- Haga clic en el nombre del certificado que ha generado en la sección anterior (por ejemplo, portalcert).
- Haga clic en Import Signed Certificate y vaya a la ubicación del certificado firmado recibido de la autoridad certificadora.
- Haga clic en Importar. El certificado que creó en la sección anterior se reemplaza con el certificado firmado por la autoridad certificadora.
Configurar Portal for ArcGIS para usar el certificado firmado por una entidad certificadora
Para configurar Portal for ArcGIS para que use el certificado firmado por una autoridad certificadora, siga estos pasos:
- Inicie sesión en el Directorio de administrador del portal como administrador de su organización. La URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Haga clic en Seguridad > Certificados SSL > Actualizar.
Nota:
Si su portal es de alta disponibilidad, en su lugar debe navegar a Equipos > [equipo] > Certificados SSL > Actualizar y, a continuación, repetir los siguientes pasos en cada equipo del portal. - En el campo Certificado SSL de servidor web, introduzca el alias del certificado firmado por una autoridad certificadora. El alias especificado debe coincidir con el alias del certificado que se reemplazó por el certificado firmado por la autoridad certificadora en la sección anterior.
- Haga clic en Actualizar.
El certificado firmado por la entidad de certificación se usará ahora para HTTPS.
Verificar que se puede acceder al portal usando HTTPS
Pruebe las siguientes direcciones URL para verificar que puede acceder al portal usando HTTPS: https://portalhost.domain.com:7443/arcgis/home.
Usar un certificado firmado por una autoridad certificadora
Si ya tiene un certificado emitido por una entidad de certificación corporativa (interna) o comercial, puede usarlo para habilitar HTTPS.
- Importar un certificado firmado por una autoridad certificadora
- Importar el certificado raíz de la autoridad certificadora (si no se ha importado en el paso 1)
- Configurar Portal for ArcGIS para que utilice el certificado firmado por una autoridad certificadora
- Verificar que se puede acceder al portal usando HTTPS
Importar un certificado firmado por una autoridad certificadora
Precaución:
Para importar este certificado en su portal, el certificado y su clave privada asociada deben almacenarse en el formato PKCS#12, que se representa mediante un archivo con la extensión .p12 o .pfx.
- Inicie sesión en el Directorio de administrador del portal como administrador de su organización. La URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Haga clic en Security > SSLCertificates > Import Existing Server Certificate.
Nota:
Si su portal es de alta disponibilidad, en su lugar debe navegar a Equipos > [equipo] > Certificados SSL > Importar certificado de servidor existente y, a continuación, repetir los siguientes pasos en cada equipo del portal. - En la página Importar certificado de servidor existente, especifique la siguiente información:
- Contraseña del certificado: introduzca la contraseña para desbloquear el archivo que contiene el certificado.
- Alias: introduzca un nombre exclusivo que identifique fácilmente el certificado (por ejemplo, rootcert).
- Archivo: vaya a la ubicación del certificado firmado por una autoridad certificadora existente y selecciónelo.
- Importar la cadena de certificados: cuando se selecciona, cualquier certificado raíz o intermedio incluido en el archivo .pfx o .p12 también se importa. Los alias de estos certificados coincidirán con el alias introducido antes e incluirán _root o _intermediate dependiendo del tipo de certificado.
- Haga clic en Importar.
Importar el certificado raíz de la autoridad certificadora
Después de importar un certificado firmado por una autoridad certificadora existente, es posible que se hayan importado los certificados raíz e intermedio. Estos deberían figurar en Seguridad > Certificados SSL.
Si no se han importado o se necesita un certificado raíz o intermedio, realice los pasos siguientes:
- Haga clic en Seguridad > Certificados SSL > Importar raíz o intermedio.
Nota:
Si su portal es de alta disponibilidad, en su lugar debe navegar a Equipos > [equipo] > Certificados SSL > Importar raíz o intermedio y, a continuación, repetir los siguientes pasos en cada equipo del portal. - Vaya a la ubicación del certificado raíz proporcionado por la CA y haga clic en Importar. Si la autoridad certificadora emitió certificados intermedios adicionales, importe esos certificados también. No importe el certificado firmado por la autoridad certificadora.
- Reinicie el servicio de Portal for ArcGIS.
Configurar Portal for ArcGIS para usar el certificado firmado por una entidad certificadora
Para configurar Portal for ArcGIS para que use el certificado firmado por una autoridad certificadora, siga estos pasos:
- Haga clic en Seguridad > Certificados SSL > Actualizar.
Nota:
Si su portal es de alta disponibilidad, en su lugar debe navegar a Equipos > [equipo] > Certificados SSL > Actualizar y, a continuación, repetir los siguientes pasos en cada equipo del portal. - En el campo Certificado SSL de servidor web, introduzca el alias del certificado firmado por una autoridad certificadora.
- Haga clic en Actualizar.
El certificado firmado por la entidad de certificación existente se usará ahora para HTTPS.
Verificar que se puede acceder al portal usando HTTPS
Pruebe las siguientes direcciones URL para verificar que puede acceder al portal usando HTTPS: https://portalhost.domain.com:7443/arcgis/home.