HTTPS est une méthode de chiffrement des communications depuis et vers un serveur Web. HTTPS offre également à une application cliente la possibilité de confirmer l’identité du serveur Web. Lorsque vous utilisez HTTPS, chaque serveur Web sur lequel HTTPS est activé doit envoyer un certificat aux clients. Le certificat contient une déclaration d’identité (gis.mycity.gov) et une clé publique que le client peut utiliser pour envoyer des informations chiffrées au serveur Web.
Portal for ArcGIS transmettant souvent des informations devant être chiffrées, le protocole HTTPS est toujours activé sur le portail. Il est recommandé d’utiliser un certificat signé par une autorité de certification (AC) d’entreprise (interne) ou commerciale. Le portail comporte un certificat auto-signé. Un certificat auto-signé implique que le client ne peut pas vérifier l'identité du serveur. En remplaçant le certificat auto-signé par un certificat signé par une autorité de certification, vous améliorez la sécurité de votre déploiement.
Vous pouvez utiliser avec le portail un certificat signé par une autorité de certification des deux façons suivantes :
- Générer un nouveau certificat signé par une autorité de certification : permet de générer une demande de signature de certificat, de la faire signer par votre autorité de certification et de l’importer sur le portail.
- Utiliser un certificat signé par une autorité de certification : si un certificat signé par une autorité de certification est déjà attribué à la machine du portail, importez-le sur le portail.
Remarque :
Ces workflows s’appliquent à la communication HTTPS avec Portal for ArcGIS sur le port 7443 uniquement. Pour générer ou importer un certificat signé par une autorité de certification pour Web Adaptor, consultez la documentation du serveur Web sur lequel Web Adaptor est installé.
Pour obtenir des instructions complètes sur ces processus, reportez-vous aux procédures détaillées dans les sections ci-dessous.
Générer un nouveau certificat signé par une autorité de certification
Vous pouvez activer HTTPS à l'aide d'un nouveau certificat signé par une autorité de certification d'entreprise (interne) ou commerciale. La procédure est la suivante :
Générer un nouveau certificat
Pour générer un nouveau certificat, procédez comme suit :
- Connectez-vous au Répertoire administrateur du portail en tant qu’administrateur de votre organisation. L’URL est au format suivant : https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Cliquez sur Sécurité > SSLCertificates > Générer.
Remarque :
Si votre portail est à haute disponibilité, vous devez accéder à Machines > [machine] > SSLCertificates > Generate (Générer) et répéter les étapes suivantes pour chaque machine du portail. - Sur la page Generate Certificate (Générer un certificat), entrez les informations suivantes :
- Alias : nom unique permettant d’identifier le nom du certificat (par exemple, portalcert).
- Algorithme de la clé : RSA (par défaut) ou DSA.
- Taille de la clé : indique la taille (en bits) utilisée lors de la génération des clés cryptographiques servant à créer le certificat. Plus la taille est importante, plus la clé est difficile à déchiffrer. Cependant, la durée de déchiffrement des données chiffrées augmente avec la taille de la clé. Pour RSA, la taille recommandée pour la clé est de 2 048 ou plus. Pour DSA, la taille de la clé peut être comprise entre 512 et 1 024.
- Algorithme de la signature : utilisez la valeur par défaut (SHA256withRSA). Si votre organisation applique des restrictions spécifiques en matière de sécurité, vous pouvez utiliser l’un des algorithmes suivants avec DSA : SHA384withRSA, SHA512withRSA, SHA1withRSA, ou SHA1withDSA.
- Nom courant : ce champ facultatif est utilisé pour la rétrocompatibilité avec des logiciels et navigateurs Web de version antérieure. Il est recommandé d’utiliser le nom de domaine complet de la machine de votre portail comme nom courant.
- Unité d’organisation : nom de service explicite pour l’utilisateur de votre site (par exemple, GIS Department).
- Organisation : nom de votre organisation (par exemple, Esri).
- Ville ou Localité : nom de votre ville ou localité (par exemple, Redlands).
- Département ou région : nom de votre département ou région (par exemple, California).
- Code de pays : code à deux lettres du pays dans lequel réside votre organisation (par exemple US).
- Validité : durée de validité totale du certificat, exprimée en jours (par exemple, 365).
- Autre nom de l'objet : l'autre nom de l'objet (SAN, Subject Alternative Name) permet de vérifier que le certificat SSL présenté par le site web en cours d'accès a été émis pour ce site web.
Si ce paramètre est laissé vide, le nom de domaine complet de la machine locale est utilisé en tant que valeur par défaut. Le champ SAN prend en charge plusieurs valeurs ; il doit inclure le nom de domaine complet du site web. La valeur du paramètre SAN ne peut pas contenir d’espaces.
Avec un SAN, un certificat permet d'utiliser différentes URL pour accéder au même site Web. Par exemple, les URL https://www.esri.com, https://esri et https://10.60.1.16 peuvent servir à accéder au même site si le certificat est créé à l’aide des valeurs de paramètre suivantes :
CN=www.esri.com
SAN=DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- Cliquez sur Générer. Un lien vers votre certificat s'affiche sur la page des certificats.
Demander à une autorité de certification de signer le certificat
Pour que les navigateurs Web acceptent votre certificat comme étant fiable, celui-ci doit être vérifié et contresigné par une autorité de certification, telle que Verisign ou Thawte.
- Sur la page des certificats, cliquez sur le nom de votre certificat.
- Cliquez sur GenerateCSR. Sur la page Générer CSR, copiez le contenu CSR et collez-le dans un fichier. Enregistrez le fichier avec l’extension .csr (par exemple, portalcert.csr).
- Envoyez le fichier CSR à une autorité de certification. Il est conseillé d’obtenir un certificat encodé par des règles de codage distinctives ou en base 64. Si l'Autorité de certification demande à quel type de serveur Web le certificat est destiné, spécifiez Autre\Inconnu ou Serveur d'applications Java. Après vérification de votre identité, l’autorité de certification vous enverra un fichier présentant l’extension .crt ou .cer.
- Enregistrez sur la machine de votre portail le certificat signé renvoyé par l'autorité de certification. Outre ce certificat signé, l'autorité de certification émet un certificat racine Enregistrez le certificat racine de l'autorité de certification sur la machine de votre portail.
- Connectez-vous au Répertoire administrateur du portail en tant qu’administrateur de votre organisation. L’URL est au format suivant : https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Cliquez sur Security (Sécurité) > SSLCertificates > Import Root or Intermediate (Importer le certificat racine ou intermédiaire).
Remarque :
Si votre portail est à haute disponibilité, vous devez accéder à Machines > [machine] > SSLCertificates > Import Root or Intermediate (Importer le certificat racine ou intermédiaire) et répéter les étapes suivantes pour chaque machine du portail. - Accédez à l’emplacement du certificat racine fourni par l’autorité de certification, puis cliquez sur Import (Importer). Si l’autorité de certification a émis des certificats intermédiaires supplémentaires, veuillez également les importer. Portal for ArcGIS redémarre automatiquement pour chaque certificat importé. N'importez pas le certificat signé.
- Revenez à la page SSLCertificates.
- Cliquez sur le nom du certificat que vous avez généré dans la section précédente (par exemple, portalcert).
- Cliquez sur Importer le certificat signé et accédez à l'emplacement où vous avez enregistré le certificat signé envoyé par l'autorité de certification.
- Cliquez sur Importer. Le certificat que vous avez créé dans la section précédente est remplacé par celui signé par l'autorité de certification.
Configurer Portal for ArcGIS pour qu’il utilise le certificat signé par une autorité de certification.
Pour configurer Portal for ArcGIS pour qu’il utilise le certificat signé par une autorité de certification, procédez comme suit :
- Connectez-vous au Répertoire administrateur du portail en tant qu’administrateur de votre organisation. L’URL est au format suivant : https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Cliquez sur Sécurité > SSLCertificates > Mettre à jour.
Remarque :
Si votre portail est à haute disponibilité, vous devez accéder à Machines > [machine] > SSLCertificates > Update (Mettre à jour) et répéter les étapes suivantes pour chaque machine du portail. - Saisissez l'alias du certificat signé par une autorité de certification dans le champ Certificat SSL du serveur. L'alias que vous indiquez doit correspondre à celui du certificat qui a été remplacé par le certificat signé par l'autorité de certification dans la section précédente.
- Cliquez sur Mettre à jour.
Le certificat signé par une autorité de certification peut désormais être utilisé pour HTTPS.
Vérifier que vous pouvez accéder à votre portail à l'aide de HTTPS
Testez l’URL suivante pour vérifier que vous pouvez accéder au portail via HTTPS : https://portalhost.domain.com:7443/arcgis/home.
Utiliser un certificat signé par une autorité de certification
Si vous possédez un certificat émis par une autorité de certification commerciale ou d'entreprise (interne), vous pouvez l'utiliser pour activer le protocole HTTPS.
Importer le certificat racine de l'autorité de certification
Pour importer le certificat racine de l’autorité de certification, procédez comme suit :
- Connectez-vous au Répertoire administrateur du portail en tant qu’administrateur de votre organisation. L’URL est au format suivant : https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Cliquez sur Security (Sécurité) > SSLCertificates > Import Root or Intermediate (Importer le certificat racine ou intermédiaire).
Remarque :
Si votre portail est à haute disponibilité, vous devez accéder à Machines > [machine] > SSLCertificates > Import Root or Intermediate (Importer le certificat racine ou intermédiaire) et répéter les étapes suivantes pour chaque machine du portail. - Accédez à l’emplacement du certificat racine fourni par l’autorité de certification, puis cliquez sur Import (Importer). Si l’autorité de certification a émis des certificats intermédiaires supplémentaires, veuillez également les importer. N'importez pas le certificat signé par l'autorité de certification.
- Redémarrez le service Portal for ArcGIS.
Importer le certificat signé par une autorité de certification
Attention :
Pour l’importer sur votre portail, le certificat et la clé privée associée doivent être stockés au format PKCS#12 qui est représenté par un fichier avec l’extension .p12 ou .pfx.
- Cliquez sur Sécurité > SSLCertificates > Importer le certificat du serveur.
Remarque :
Si votre portail est à haute disponibilité, vous devez accéder à Machines > [machine] > SSLCertificates > Import Existing Server Certificate (Importer le certificat de serveur existant) et répéter les étapes suivantes pour chaque machine du portail. - Sur la page Importer le certificat du serveur, indiquez les informations suivantes :
- Mot de passe du certificat : entrez le mot de passe pour déverrouiller le fichier contenant le certificat.
- Alias : entrez un nom unique permettant d’identifier aisément le certificat (par exemple rootcert).
- Accédez à l'emplacement du certificat signé par l'autorité de certification. Cliquez sur Importer.
Configurer Portal for ArcGIS pour qu’il utilise le certificat signé par une autorité de certification.
Pour configurer Portal for ArcGIS pour qu’il utilise le certificat signé par une autorité de certification, procédez comme suit :
- Cliquez sur Sécurité > SSLCertificates > Mettre à jour.
Remarque :
Si votre portail est à haute disponibilité, vous devez accéder à Machines > [machine] > SSLCertificates > Update (Mettre à jour) et répéter les étapes suivantes pour chaque machine du portail. - Saisissez l'alias du certificat signé par une autorité de certification dans le champ Certificat SSL du serveur.
- Cliquez sur Mettre à jour.
Le certificat existant signé par une autorité de certification sera utilisé pour HTTPS.
Vérifier que vous pouvez accéder à votre portail à l'aide de HTTPS
Testez l’URL suivante pour vérifier que vous pouvez accéder au portail via HTTPS : https://portalhost.domain.com:7443/arcgis/home.
Vous avez un commentaire à formuler concernant cette rubrique ?