Importation d'un certificat dans le portail
Dans cette rubrique
- Générer un nouveau certificat signé par une autorité de certification
- Utiliser un certificat signé par une autorité de certification
HTTPS est une méthode de chiffrement des communications depuis et vers un serveur Web. HTTPS offre également à une application cliente la possibilité de confirmer l'identité du serveur Web. Lorsque vous utilisez HTTPS, chaque serveur Web sur lequel HTTPS est activé doit envoyer un certificat aux clients. Le certificat contient une déclaration d'identité (gis.mycity.gov) et une clé publique que le client peut utiliser pour envoyer des informations chiffrées au serveur Web.
Portal for ArcGIS transmet souvent des informations devant être chiffrées. Ainsi, le protocole SSL est toujours activé sur le portail. Nous vous conseillons d'utiliser un certificat signé par une autorité de certification d'entreprise (interne) ou commerciale. Le portail est livré avec un certificat auto-signé. Un certificat auto-signé implique que le client ne peut pas vérifier l'identité du serveur et qu'il peut envoyer du contenu chiffré. En remplaçant le certificat auto-signé par un certificat signé par une autorité de certification, vous améliorez considérablement la sécurité de votre déploiement.
Vous pouvez utiliser avec le portail un certificat signé par une autorité de certification des deux façons suivantes :
- Générer un nouveau certificat signé par une autorité de certification : permet de générer une demande de signature de certificat, de la faire signer par votre autorité de certification et de l'importer sur le portail.
- Utiliser un certificat signé par une autorité de certification : si un certificat signé par une autorité de certification est déjà attribué à la machine du portail, importez-le sur le portail.
Pour obtenir des instructions complètes sur ces processus, reportez-vous aux procédures détaillées dans les sections ci-dessous.
Générer un nouveau certificat signé par une autorité de certification
Vous pouvez activer SSL à l'aide d'un nouveau certificat signé par une autorité de certification d'entreprise (interne) ou commerciale. Les étapes sont les suivantes :
- Générer un nouveau certificat
- Demander à une autorité de certification de signer le certificat
- Configurer Portal for ArcGIS pour qu'il utilise le certificat signé par une autorité de certification
- Importer le certificat racine de l'autorité de certification dans le magasin de certificats Windows
- Vérifier que vous pouvez accéder à votre portail à l'aide de SSL
Générer un nouveau certificat
- Connectez-vous au répertoire Portal for ArcGIS en tant qu'administrateur de votre organisation. L'URL est au format suivant : https://webadaptor.domain.com/arcgis/portaladmin.
- Cliquez sur Sécurité > SSLCertificates > Générer.
- Sur la page Générer un certificat, entrez les informations suivantes :
- Alias : nom unique permettant d'identifier le certificat (par exemple, portalcert).
- Algorithme de la clé : RSA (par défaut) ou DSA.
- Taille de la clé : indique la taille (en bits) utilisée lors de la génération des clés cryptographiques servant à créer le certificat. Plus la taille est importante, plus la clé est difficile à déchiffrer. Cependant, la durée de déchiffrement des données chiffrées augmente avec la taille de la clé. Pour RSA, la taille recommandée pour la clé est de 2 048 ou plus. Pour DSA, la taille de la clé peut être comprise entre 512 et 1 024.
- Algorithme de la signature : utilisez la valeur par défaut (SHA1withRSA). Si votre entreprise applique des restrictions spécifiques en matière de sécurité, vous pouvez utiliser un des algorithmes suivants avec DSA : SHA256withRSA, SHA384withRSA, SHA512withRSA, SHA1withDSA.
- Nom courant : nom de domaine complet de la machine de votre portail.
- Unité d'organisation : nom de service explicite pour l'utilisateur de votre site (par exemple, GIS Department).
- Organisation : nom de votre organisation (par exemple, Esri).
- Ville ou Localité : nom de votre ville ou localité (par exemple, Redlands).
- Département ou région : nom de votre département ou région (par exemple, California).
- Code de pays : code à deux lettres du pays dans lequel réside votre organisation (par exemple US).
- Validité : durée de validité totale du certificat, exprimée en jours (par exemple, 365).
- Autre nom de l'objet : paramètre facultatif qui définit des alias pour le nom commun (CN, Common Name) spécifié dans le certificat SSL. Si aucun SAN n'est défini, un site Web est uniquement accessible (sans erreurs de certificat SSL) à l'aide du nom commun indiqué dans l'URL. Avec un SAN, un certificat SSL permet d'utiliser différentes URL pour accéder au même site Web. Par exemple, les URL https://www.esri.com, https://esri et https://10.60.1.16 peuvent servir à accéder au même site si le certificat SSL est créé à l'aide des valeurs de paramètre suivantes :
CN=www.esri.com
SAN=DNS:esri, IP:10.60.1.16
- Cliquez sur Générer. Un lien vers votre certificat s'affiche sur la page Certificats SSL.
Demander à une autorité de certification de signer le certificat
Pour que les navigateurs Web acceptent votre certificat comme étant fiable, celui-ci doit être vérifié et contresigné par une autorité de certification, telle que Verisign ou Thawte.
- Sur la page Certificats SSL, cliquez sur le nom de votre certificat.
- Cliquez sur GenerateCSR. Sur la page Générer CSR, copiez le contenu CSR et collez-le dans un fichier. Enregistrez le fichier avec l'extension .csr (par exemple, portalcert.csr).
- Envoyez le fichier CSR à une autorité de certification. Il est conseillé d'obtenir un certificat encodé par des règles de codage distinctives ou en base 64. Si l'Autorité de certification demande à quel type de serveur Web le certificat est destiné, spécifiez Autre\Inconnu ou Serveur d'applications Java. Après vérification de votre identité, l'autorité de certification vous enverra un fichier présentant l'extension .crt ou .cer.
- Enregistrez sur la machine de votre portail le certificat signé renvoyé par l'autorité de certification. Outre ce certificat signé, l'autorité de certification émet un certificat racine Enregistrez le certificat racine de l'autorité de certification sur la machine de votre portail.
- Connectez-vous au répertoire de Portal for ArcGIS en tant qu'administrateur de votre organisation. L'URL est au format suivant : https://webadaptor.domain.com/arcgis/portaladmin.
- Cliquez sur Sécurité > SSLCertificates > Importer le certificat racine ou intermédiaire.
- Accédez à l'emplacement du certificat racine fourni par l'autorité de certification. Cliquez sur Importer. Si l'autorité de certification a émis des certificats intermédiaires supplémentaires, veuillez également les importer. N'importez pas le certificat signé.
- Cliquez sur Sécurité > SSLCertificates.
- Cliquez sur le nom du certificat généré dans la section précédente (par exemple, portalcert).
- Cliquez sur Importer le certificat signé et accédez à l'emplacement où vous avez enregistré le certificat signé envoyé par l'autorité de certification.
- Cliquez sur Importer. Le certificat que vous avez créé dans la section précédente est remplacé par celui signé par l'autorité de certification.
Configurer Portal for ArcGIS pour qu'il utilise le certificat signé par une autorité de certification
- Connectez-vous au répertoire de Portal for ArcGIS en tant qu'administrateur de votre organisation. L'URL est au format suivant : https://webadaptor.domain.com/arcgis/portaladmin.
- Cliquez sur Sécurité > SSLCertificates > Mettre à jour.
- Saisissez l'alias du certificat signé par une autorité de certification dans le champ Certificat SSL du serveur. L'alias que vous indiquez doit correspondre à celui du certificat qui a été remplacé par le certificat signé par l'autorité de certification dans la section précédente.
- Cliquez sur Mettre à jour.
Le certificat signé par une autorité de certification peut désormais être utilisé pour SSL.
Importer le certificat racine de l'autorité de certification dans le magasin de certificats Windows
Si le certificat racine de l'autorité de certification ne figure pas dans le magasin de certificats Windows sur la machine du portail, il doit être importé.
- Connectez-vous à la machine qui héberge Portal for ArcGIS.
- Copiez sur cet ordinateur le certificat signé par l'autorité de certification.
- Ouvrez ce certificat et cliquez sur l'onglet Chemin d'accès au certificat. Si la zone Statut du certificat : affiche Ce certificat est correct, cela signifie que le certificat racine de l'autorité de certification se trouve dans le magasin de certificats Windows et qu'il ne doit pas être importé. Passez à l'étape 8.
- Ouvrez le gestionnaire de certificat (procédez en recherchant certmgr.msc).
- Dans la fenêtre Gestionnaire de certificat, cliquez sur Autorités de certification racines de confiance > Certificats.
- Dans le menu supérieur, cliquez sur Action > Toutes les tâches > Importer.
- Dans la boîte de dialogue Assistant Importation de certificat, cliquez sur Suivant, puis suivez les instructions de l'assistant pour importer le certificat racine de l'autorité de certification.
- Redémarrez la machine qui héberge Portal for ArcGIS.
Vérifier que vous pouvez accéder à votre portail à l'aide de SSL
Testez les URL suivantes pour vérifier que vous pouvez accéder au portail via SSL.
Ressource | Exemple URL |
---|---|
Site Web Portal for ArcGIS | https://webadaptor.domain.com/arcgis/home |
Répertoire du portail ArcGIS | https://webadaptor.domain.com/arcgis/portaladmin |
https://webadaptor.domain.com/arcgis/sharing/rest |
Utiliser un certificat signé par une autorité de certification
Si vous possédez un certificat émis par une autorité de certification commerciale ou d'entreprise (interne), vous pouvez l'utiliser pour activer le protocole SSL.
- Importer le certificat racine de l'autorité de certification
- Importer le certificat signé par une autorité de certification
- Configurer Portal for ArcGIS pour qu'il utilise le certificat signé par une autorité de certification
- Importer le certificat racine de l'autorité de certification dans le magasin de certificats Windows
- Vérifier que vous pouvez accéder à votre portail à l'aide de SSL
Importer le certificat racine de l'autorité de certification
- Connectez-vous au répertoire de Portal for ArcGIS en tant qu'administrateur de votre organisation. L'URL est au format suivant : https://webadaptor.domain.com/arcgis/portaladmin.
- Cliquez sur Sécurité > SSLCertificates > Importer le certificat racine ou intermédiaire.
- Accédez à l'emplacement du certificat racine fourni par l'autorité de certification. Cliquez sur Importer. Si l'autorité de certification a émis des certificats intermédiaires supplémentaires, veuillez également les importer. N'importez pas le certificat signé par l'autorité de certification.
- Redémarrez le service Portal for ArcGIS.
Importer le certificat signé par une autorité de certification
Attention :
Afin de l'importer sur votre portail, le certificat et la clé privée associée doivent être stockés au format PKCS#12 qui est représenté par un fichier avec l'extension .p12 ou .pfx.
- Cliquez sur Sécurité > SSLCertificates > Importer le certificat du serveur.
- Sur la page Importer le certificat du serveur, indiquez les informations suivantes :
- Mot de passe du certificat : entrez le mot de passe pour déverrouiller le fichier contenant le certificat SSL.
- Alias : entrez un nom unique permettant d'identifier aisément le certificat (par exemple rootcert).
- Accédez à l'emplacement du certificat signé par l'autorité de certification. Cliquez sur Importer.
Configurer Portal for ArcGIS pour qu'il utilise le certificat signé par une autorité de certification
- Cliquez sur Sécurité > SSLCertificates > Mettre à jour.
- Saisissez l'alias du certificat signé par une autorité de certification dans le champ Certificat SSL du serveur.
- Cliquez sur Mettre à jour.
Le certificat signé par une autorité de certification peut désormais être utilisé pour SSL.
Importer le certificat racine de l'autorité de certification dans le magasin de certificats Windows
Si le certificat racine de l'autorité de certification ne figure pas dans le magasin de certificats Windows sur la machine du portail, il doit être importé.
- Connectez-vous à la machine qui héberge Portal for ArcGIS.
- Copiez sur cet ordinateur le certificat signé par l'autorité de certification.
- Ouvrez ce certificat et cliquez sur l'onglet Chemin d'accès au certificat. Si la zone Statut du certificat : affiche Ce certificat est correct, cela signifie que le certificat racine de l'autorité de certification se trouve dans le magasin de certificats Windows et qu'il ne doit pas être importé. Passez à l'étape 8.
- Ouvrez le gestionnaire de certificat (procédez en recherchant certmgr.msc).
- Dans la fenêtre Gestionnaire de certificat, cliquez sur Autorités de certification racines de confiance > Certificats.
- Dans le menu supérieur, cliquez sur Action > Toutes les tâches > Importer.
- Dans la boîte de dialogue Assistant Importation de certificat, cliquez sur Suivant, puis suivez les instructions de l'assistant pour importer le certificat racine de l'autorité de certification.
- Redémarrez la machine qui héberge Portal for ArcGIS.
Vérifier que vous pouvez accéder à votre portail à l'aide de SSL
Testez les URL suivantes pour vérifier que vous pouvez accéder au portail via SSL.
Ressource | Exemple URL |
---|---|
Site Web Portal for ArcGIS | https://webadaptor.domain.com/arcgis/home |
Répertoire du portail ArcGIS | https://webadaptor.domain.com/arcgis/portaladmin |
https://webadaptor.domain.com/arcgis/sharing/rest |
Vous avez un commentaire à formuler concernant cette rubrique ?