En este tema se muestra cómo se puede configurar HTTPS para ArcGIS Server con un certificado firmado por una Autoridad certificadora (CA). Los pasos para configurar HTTPS mediante un certificado emitido por una Autoridad certificadora son los siguientes:
- Crear un certificado autofirmado.
- Solicitar a una autoridad certificadora que firme su certificado.
- Configurar el sitio de ArcGIS Server para usar el certificado firmado por una entidad certificadora.
- Configurar cada ArcGIS Server de la implementación.
- Importar el certificado raíz de la autoridad certificadora en el almacén de certificados de Windows.
- Configurar HTTPS para su sitio
- Acceder a su sitio utilizando HTTPS.
Crear un nuevo certificado autofirmado
- Inicie sesión en el Directorio del administrador de ArcGIS Server en https://gisserver.domain.com:6443/arcgis/admin.
- Acceda a máquinas > [nombre del equipo] > sslcertificates.
- Haga clic en generar.
- Proporcione valores para los parámetros en esta página:
Opción Descripción Alias
Un nombre único que identifica fácilmente el certificado.
Algoritmo de clave
Utilizar RSA (el valor predeterminado) o DSA.
Tamaño de clave
Especifica el tamaño en bits para utilizar cuando se generan las claves criptográficas que se utilizan para crear el certificado. Cuanto mayor sea el tamaño de la clave, más difícil será descifrarla; sin embargo, el tiempo para descifrar datos cifrados aumenta con el tamaño de la clave. Para DSA, el tamaño de la clave puede estar comprendido entre 512 y 1.024. Para RSA, el tamaño recomendado para la clave es 2.048 o superior.
Algoritmo de firma
Use la opción predeterminada (SHA256withRSA). Si su organización tiene restricciones de seguridad específicas, puede usar uno de los siguientes algoritmos para DSA: SHA384withRSA, SHA512withRSA, SHA1withRSA, SHA1withDSA.
Nombre común
Este campo es opcional y se utiliza para tener compatibilidad con versiones anteriores de navegadores web y software. Se recomienda usar el nombre de dominio completo del nombre del servidor como nombre común.
Si se va a acceder a su servidor en Internet a través de la dirección URL https://www.gisserver.com:6443/arcgis/, use www.gisserver.com como nombre común.
Si a su servidor solo se va a acceder desde la red de área local (LAN) a través de la dirección URL https://gisserver.domain.com:6443/arcgis, utilice gisserver.domain.com como nombre común.
Unidad organizacional
El nombre de su unidad organizacional, por ejemplo, Departamento de SIG.
Organización
El nombre de su organización, por ejemplo, Esri.
Ciudad o localidad
El nombre de la ciudad o localidad, por ejemplo, Redlands.
Estado o provincia
El nombre completo de su estado o provincia, por ejemplo, California.
Código de país
El código abreviado de su país, por ejemplo, US.
Validez
El tiempo total en días durante el cual este certificado será válido, por ejemplo, 365.
Nombre alternativo de sujeto
El nombre alternativo de sujeto (SAN) se usa para validar que el certificado SSL presentado por el sitio web al que se accede fue emitido por ese sitio web.
Si no se ha definido ningún SAN, algunos navegadores web pueden tratar de validar el certificado SSL usando el parámetro del nombre común (CN) y otros navegadores web pueden mostrar un error diciendo que el certificado SSL presentado por el sitio web no se ha podido validar. El campo SAN admite varios valores. No obstante, debe incluir el nombre de dominio completo del sitio web. El valor del parámetro SAN no puede contener espacios.
Por ejemplo, si se va a acceder a su servidor principalmente usando la dirección URL https://www.esri.com, el parámetro SAN debe establecerse en DNS:www.esri.com. Si se va acceder al servidor en una conexión de Internet pública usando la dirección URL https://www.esri.com y dentro de la red de área local (LAN) de su organización usando la URL https://gisserver.esri.com, el parámetro SAN debe estar establecido en DNS:www.esri.com,DNS:gisserver.esri.com.
Aunque se admite, no se recomienda el uso de comodines (*.esri.com) en el parámetro SAN. Cuando se use el mismo certificado para varios sitios web o subdominios, enumere cada sitio web o subdominio en el parámetro SAN, como se muestra en el ejemplo siguiente:
Ejemplo: DNS:www.esri.com,DNS:esri.com,DNS:www.esri.ch,DNS:www.esri.rw,DNS:www.esri.de,DNS:maps.esri.com,DNS:support.esri.com,DNS:pro.arcgis.com.
- Haga clic en Generar para generar el certificado.
Solicitar a una autoridad certificadora que firme su certificado
Para que los navegadores web acepten su certificado como un certificado de confianza, este debe ser verificado y corroborado por una Autoridad de certificación bien conocida, como Verisign o Thawte.
- Abra el certificado autofirmado que ha creado en la sección anterior y haga clic en generateCSR. Copie el contenido en un archivo, por lo general con una extensión .csr.
- Presentar la RSE a una autoridad certificadora de su elección. Puede obtener un certificado Distinguished Encoding Rules (DER) o codificado en base 64. Si la CA solicita el tipo de servidor web al cual está destinado el certificado, especifique Otro/Desconocido o Servidor de aplicaciones Java. Después de verificar su identidad, se le enviará un archivo .crt o .cer.
- Guarde el certificado firmado recibido de la autoridad certificadora en una ubicación de su equipo a la que se pueda acceder desde el Directorio del administrador de ArcGIS Server. Además del certificado firmado, la Autoridad certificadora expedirá un certificado raíz. Guardar el certificado raíz de la autoridad certificadora en su equipo.
- Inicie sesión en el Directorio del administrador de ArcGIS Server: https://gisserver.domain.com:6443/arcgis/admin.
- Haga clic en máquinas > [nombre de la máquina] > certificados SSL > importRootOrIntermediate to import the root certificate provided by the CA. Si la autoridad certificadora emitió certificados intermedios adicionales, importar dichos también.
- Navegue a equipos > [nombre de equipo] > sslcertificates.
- Haga clic en el nombre del certificado autofirmado que envió a la autoridad certificadora.
- Haga clic en importSignedCertificate y vaya hasta la ubicación donde se guardó el certificado firmado recibido de la Autoridad certificadora.
- Haga clic en Enviar. Esto reemplaza el certificado autofirmado que creó en la sección anterior por el certificado emitido por la autoridad certificadora.
Configurar ArcGIS Server para usar el certificado firmado por una entidad certificadora
Nota:
Los puntos de distribución de CRL (CDP) definidos en el certificado firmado por la autoridad certificadora deben ser válidos y estar accesibles desde el equipo o los equipos donde se aloje ArcGIS Server. Si el CDP definido en el certificado no es válido o no está disponible porque no hay acceso a Internet o por la configuración de la red o el firewall, la publicación en ArcGIS Desktop generará un error. Para evitar este problema, siga los pasos que se describen en No puedo publicar un servicio en un sitio con ArcGIS Server que utiliza un certificado emitido por una CA en el tema Problemas y soluciones comunes.
- Inicie sesión en el Directorio del administrador de ArcGIS Server en https://gisserver.domain.com:6443/arcgis/admin. Reemplace gisserver.domain.com con el nombre completo del equipo en el que se ha instalado ArcGIS Server.
- Acceda a equipos > [machine name].
- Haga clic en editar.
- Escriba el nombre del certificado firmado en el campo Certificado SSL de servidor web. El nombre especificado debe coincidir con el alias del certificado autofirmado que se reemplazó por el certificado firmado por la Autoridad certificadora en la sección anterior.
- Haga clic en Guardar modificaciones para aplicar los cambios. De este modo, el sitio de ArcGIS Server se reinicia automáticamente.
- Una vez reiniciado el sitio, verifique que puede acceder a la dirección URL https://gisserver.domain.com:6443/arcgis/admin. Si no obtiene respuesta de esta dirección URL, la razón es que ArcGIS Server no ha podido usar el certificado SSL especificado. Inicie sesión en el Directorio del administrador de ArcGIS Server en http://gisserver.domain.com:6080/arcgis/admin, compruebe el certificado SSL y configure ArcGIS Server para usar un certificado nuevo o diferente.
- En la página actual, vea la propiedad servidor web certificado SSL para verificar que se utilizará el certificado deseado para HTTPS.
Configure cada equipo con ArcGIS Server en su implementación
Si tiene una implementación de varios equipos con ArcGIS Server, debe obtener y configurar un certificado firmado por una autoridad certificadora para cada equipo con ArcGIS Server que participe en el sitio.
Importar el certificado raíz de la autoridad certificadora en el almacén de certificados de Windows
Si el certificado raíz de la autoridad certificadora no está presente en el almacén de certificados de Windows, se deberá importar.
- Inicie sesión en un equipo donde esté alojado ArcGIS Server.
- Copie el certificado firmado recibido de la autoridad certificadora en un lugar de este equipo.
- Abra este certificado y haga clic en la pestaña Ruta del certificado. Si el Estado del certificado: es Certificado válido, el certificado raíz de la autoridad certificadora está presente en el almacén de certificados de Windows y no es necesario importarlo. Continúe en el paso 12.
- Copie el certificado raíz de la autoridad certificadora en un lugar de este equipo.
- Abra este certificado y haga clic en la pestaña General. Haga clic en el botón Instalar certificado.
- Una vez que se abra el Asistente de importación de certificados en el panel de Bienvenida, haga clic en Siguiente.
- En el panel Almacenamiento de certificados, elija la opción Colocar todos los certificados en el siguiente almacenamiento.
- Haga clic en el botón Examinar. En el cuadro de diálogo Seleccionar almacenamiento de certificado, habilite la opción Mostrar almacenamiento físico.
- Expanda la carpeta Entidades emisoras de certificados raíz de confianza para exponer su contenido. Seleccione Equipo local como el almacén de certificados que desea usar. Haga clic en Aceptar.
- En el panel Almacenamiento de certificado, haga clic en Siguiente.
- Haga clic en Finalizar.
- Repita los pasos 1–11 en cada equipo de ArcGIS Server de su sitio.
- Reinicie ArcGIS Server en cada equipo.
Configurar HTTPS para su sitio
- Compruebe que se pueda acceder al portal usando la dirección URL https://gisserver.domain.com:6443/arcgis/admin. Si no obtiene respuesta de esta dirección URL, la razón es que ArcGIS Server no ha podido usar el certificado especificado. Compruebe el certificado y configure ArcGIS Server para usar un certificado nuevo o diferente.
- Si puede acceder a la dirección URL https://gisserver.domain.com:6443/arcgis/admin, vaya a security > config > update.
- Para el parámetro Protocolo, elija la opción Solo HTTPS y haga clic en Actualizar.
Nota:
ArcGIS Web Adaptor tarda un minuto en detectar los cambios del protocolo de comunicación del sitio.
Legado:
En la versión 10.2.1 y versiones anteriores, era necesario volver a configurar ArcGIS Web Adaptor después de actualizar el protocolo de comunicación de ArcGIS Server. Esto ya no es necesario a partir de la versión 10.2.2.
Acceder a su sitio utilizando HTTPS
Una vez que se haya configurado HTTPS, ArcGIS Server escucha las solicitudes HTTPS en el puerto 6443. Utilice las direcciones URL por debajo de forma segura el acceso a ArcGIS Server:
Administrador de ArcGIS Server | https://gisserver.domain.com:6443/arcgis/manager |
Directorio de servicios de ArcGIS Server | https://gisserver.domain.com:6443/arcgis/rest/services |
Nota:
Si renombra ArcGIS Server mientras HTTPS está activado, puede continuar accediendo a ArcGIS Server usando HTTPS. No obstante, deberá generar un certificado nuevo y configurar ArcGIS Server para usarlo.