Skip To Content

Prácticas recomendadas para los certificados de servidor

Cualquier comunicación enviada por una red informática puede ser potencialmente interceptada, descifrada o modificada. Para proteger la comunicación de red en ArcGIS Enterprise, recomendamos el uso de HTTPS, el cual se impone de forma predeterminada.

HTTPS cifra las comunicaciones que llegan a un servidor web y que salen de él. Facilita la seguridad de las comunicaciones de red, ya que identifica y autentica el servidor web con cada cliente web que se comunica con él. El uso de HTTPS ayuda a garantizar la privacidad e integridad de todos los datos transmitidos.

Para crear una conexión HTTPS entre un servidor web y un cliente, el servidor web necesita un certificado de servidor. Un certificado es un archivo digital que contiene información sobre la identidad del servidor web. También contiene la codificación técnica a utilizar a la hora de establecer un canal seguro entre el cliente y el servidor web. El propietario del sitio web debe crear y firmar digitalmente un certificado.

Esri recomienda varias prácticas en relación con los certificados de servidor. Estas prácticas recomendadas se aplican a todos los sitios de ArcGIS Server y al portal de ArcGIS Enterprise, pero también se deben tener en cuenta para otros componentes de la implementación.

Sustituir los certificados autofirmados por certificados firmados por una autoridad certificadora

Tras la instalación de ArcGIS Server y Portal for ArcGIS, estos componentes se configuran automáticamente con certificados autofirmados. Estos certificados, que solo vienen firmados por el propietario de un sitio web, habilitan la comunicación HTTPS sin más pasos adicionales. Sin embargo, la mayoría de navegadores web inicialmente no confiarán en las URL de su implementación de ArcGIS Enterprise. Como resultado, usted y sus usuarios tendrán que eliminar las advertencias del navegador, lo cual puede suscitar sospechas y alarma.

Recomendamos configurar lo antes posible la implementación con certificados firmados por una autoridad certificadora (CA) externa. Los certificados firmados por una autoridad certificadora reafirman a los navegadores web de sus usuarios en que deben confiar en sus sitios. Para obtener uno, debe enviar una solicitud de firma de certificado (CSR) a la autoridad certificadora.

Si ya tiene un certificado firmado por una autoridad certificadora, puede configurar ArcGIS Server con el certificado y, después, importarlo al portal.

También puede solicitar a una autoridad certificadora la firma de un certificado autofirmado, configurar el nuevo certificado con ArcGIS Server y, después, importarlo al portal.

Nota:
Al importar un certificado en un sitio de ArcGIS Server de varios equipos, asegúrese de hacerlo para cada equipo de su sitio.

Constatar la existencia de certificados intermedios y raíz

Cuando una aplicación cliente comprueba su certificado firmado por una autoridad certificadora, también debe validar a la propia autoridad certificadora. Se realiza utilizando certificados intermedios y raíz pertenecientes a la autoridad certificadora. El certificado raíz establece la identidad de la autoridad certificadora, y el certificado intermedio afianza su credibilidad para emitir certificados de entidad final como el suyo. Si los certificados raíz e intermedio están presentes, los navegadores y las aplicaciones cliente pueden confiar en que su certificado lo ha firmado realmente una autoridad certificadora válida.

ArcGIS Enterprise confía automáticamente en los certificados raíz e intermedio de muchas autoridades certificadoras populares. Si su organización utiliza una autoridad certificadora personalizada, o si dispone de un certificado intermedio concreto que desee agregar a la implementación, puede utilizar las operaciones importRootOrIntermediate del Directorio de administrador del portal de ArcGIS y del Directorio de administrador de ArcGIS Server.

Incluir un nombre alternativo de sujeto en los certificados

Algunos navegadores, incluido Google Chrome, no confían en los certificados que no contienen un nombre alternativo de sujeto (SAN; de los cuales puede haber varios). Si su implementación de ArcGIS Enterprise está configurada con certificados que carecen del valor SAN, los usuarios que accedan a sus sitios recibirán advertencias sobre la confianza de estos.

Los certificados creados por administradores de TI normalmente tendrán uno o varios valores SAN, pero el comando makecert de Windows y la aplicación Administrador de IIS utilizada habitualmente no permiten configurar un SAN. Debería utilizar otra herramienta para generar sus certificados de dominio, firmados por la autoridad certificadora interna de su organización.

Si va a crear su propio certificado de dominio en Windows, Esri proporciona un script para crear un certificado de dominio que contenga valores SAN. Chrome y otros navegadores web confían en los certificados generados con este script de PowerShell.

Comprender y abordar el problema de la falta de coincidencia en el nombre

Dado que ArcGIS Enterprise puede estar implementado en varios equipos y posiblemente en varios dominios o subdominios, conviene conocer la causa y la posible solución del problema de la falta de coincidencia en el nombre. Se produce cuando un usuario navega a una URL en un sitio que no coincide con el nombre común (o más recientemente, el valor de Nombre alternativo de sujeto) proporcionado por el certificado del sitio. En otras palabras: si el certificado que presenta una página web se concede para una URL que no es a la que está accediendo el usuario, el navegador indicará un error.

Al igual que con los certificados autofirmados, los usuarios pueden optar por aceptar y confiar en la URL a pesar del error. No obstante, se trata de un error alarmante si los usuarios no están familiarizados con su sitio, además de una molestia si aparece frecuentemente.

Una práctica recomendada consiste en agregar inmediatamente cada nuevo dominio y subdominio que use su organización como valores SAN a su certificado firmado por la autoridad certificadora. Este planteamiento proactivo garantiza que los usuarios no reciban errores de falta de coincidencia en el nombre.

Por ejemplo, piense en una agencia que implementa componentes de ArcGIS Enterprise en dos subdominios: https://water.example.com y electricity.example.com. La agencia utiliza un certificado firmado por una autoridad certificadora, con valores SAN que coinciden con "water.example.com" y "electricity.example.com". Lanzan un nuevo sitio en https://recycling.example.com. El administrador de TI debería agregar una entrada "recycling.example.com" al parámetro SAN del certificado del sitio.

Detectar posibles problemas de seguridad con scripts de Esri

Para ayudarle a identificar riesgos de seguridad habituales en su implementación de ArcGIS Enterprise, Esri proporciona scripts que comprueban las prácticas recomendadas de seguridad en sus sitios de servidor y portal. Los scripts serverscan.py y portalscan.py están integrados en el software y es posible ejecutarlos en cualquier momento. Entre los elementos examinados por los scripts está la comprobación del uso de un certificado autofirmado por parte del componente.

Resulta útil ejecutar los análisis nada más haber instalado cada componente, tras actualizar a versiones nuevas y si se realizan cambios significativos en la implementación o sus componentes de TI. Por ejemplo, debería ejecutar de nuevo el script serverscan.py si su organización ha sustituido recientemente sus certificados de servidor o ha modificado las URL de un sitio.