Activation du protocole SSL à l'aide d'un nouveau certificat signé par une autorité de certification
Dans cette rubrique
- Créer un certificat auto-signé
- Demander à une autorité de certification de signer le certificat
- Configurer ArcGIS Server pour qu'il utilise le certificat signé par une autorité de certification
- Configurer chaque serveur SIG de votre déploiement
- Importer le certificat racine de l'autorité de certification dans le magasin de certificats du système d'exploitation
- Activer SSL pour votre site
- Accéder à votre site à l'aide du protocole SSL
Cette rubrique explique comment activer le protocole SSL pour ArcGIS Server à l'aide d'un certificat signé par une autorité de certification. Pour activer SSL à l'aide d'un certificat signé par une autorité de certification, procédez comme suit :
- Créer un certificat auto-signé.
- Demander à une autorité de certification de signer le certificat.
- Configurer ArcGIS Server pour qu'il utilise le certificat signé par une autorité de certification.
- Configurer chaque serveur SIG de votre déploiement.
- Importer le certificat racine de l'autorité de certification dans le magasin de certificats du système d'exploitation.
- Activer le protocole SSL pour votre site.
- Accéder à votre site à l'aide du protocole SSL.
Créer un certificat auto-signé
- Connectez-vous au répertoire administrateur d'ArcGIS Server à l'adresse suivante : http://gisserver.domain.com:6080/arcgis/admin.
- Accédez à machines > [nom de la machine] > sslcertificates.
- Cliquez sur Générer.
- Indiquez les valeurs des paramètres sur cette page :
Option Description Alias
Nom unique permettant d'identifier aisément le certificat.
Algorithme de la clé
Utilisez RSA (valeur par défaut) ou DSA.
Taille de la clé
Indique la taille, en bits, à utiliser lors de la génération des clés cryptographiques servant à créer le certificat. Plus la taille est importante, plus la clé est difficile à déchiffrer. Cependant, la durée de déchiffrement des données chiffrées augmente avec la taille de la clé. Pour DSA, la taille de la clé peut être comprise entre 512 et 1 024. Pour RSA, la taille recommandée pour la clé est de 2 048 ou plus.
Algorithme de la signature
Utilisez l'algorithme par défaut (SHA1withRSA). Si votre organisation applique des restrictions de sécurité spécifiques, l'un des algorithmes suivants peut être utilisé pour DSA : SHA256withRSA, SHA384withRSA, SHA512withRSA, SHA1withDSA.
Nom courant
Utilisez le nom de domaine de votre serveur comme nom courant.
Si votre serveur est accessible sur Internet, au moyen de l'URL https://www.gisserver.com:6443/arcgis/, utilisez www.gisserver.com comme nom commun.
Si votre serveur est accessible uniquement sur votre réseau local, au moyen de l'URL https://gisserver.domain.com:6443/arcgis, utilisez gisserver comme nom commun.
Unité d'organisation
Nom de votre unité d'organisation, par exemple, Service SIG.
Organisation
Nom de votre organisation, par exemple, Esri.
Ville ou Localité
Nom de la ville ou de la localité, par exemple, Paris.
Département ou région
Nom complet de votre département ou région, par exemple, Ile de France.
Code de pays
Code abrégé de votre pays, par exemple FR.
Validité
Durée de validité totale de ce certificat, exprimée en jours, par exemple, 365.
Autre nom de l'objet
L'autre nom de l'objet (SAN, Subject Alternative Name) est un paramètre facultatif qui définit des alias pour le nom commun (CN, Common Name) spécifié dans le certificat SSL. La valeur du paramètre SAN ne peut contenir aucun espace.
Si aucun SAN n'est défini, un site Web est uniquement accessible (sans erreurs de certificat SSL) à l'aide du nom commun indiqué dans l'URL. Si un SAN est défini et qu'un nom DNS est présent, le site Web est uniquement accessible par ce qui est répertorié dans le SAN. Si vous le souhaitez, vous pouvez indiquer plusieurs noms DNS. Par exemple, les URL https://www.esri.com, https://esri et https://10.60.1.16 peuvent servir à accéder au même site si le certificat SSL est créé à l'aide de la valeur du paramètre SAN suivante :
DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- Cliquez sur Générer pour générer le certificat.
Demander à une autorité de certification de signer le certificat
Pour que les navigateurs Web acceptent votre certificat comme étant fiable, celui-ci doit être vérifié et contresigné par une autorité de certification connue, telle que Verisign ou Thawte.
- Ouvrez le certificat auto-signé que vous avez créé dans la section précédente et cliquez sur generateCSR. Copiez le contenu dans un fichier, lequel porte généralement l'extension *.csr.
- Envoyez le fichier CSR à l'autorité de certification de votre choix Vous pouvez obtenir un certificat encodé par des règles de codage distinctives ou en base 64. Si l'Autorité de certification demande à quel type de serveur Web le certificat est destiné, spécifiez Autre\Inconnu ou Serveur d'applications Java. Une fois votre identité vérifiée, vous recevrez un fichier *.crt ou *.cer.
- Enregistrez sur votre ordinateur le certificat signé renvoyé par l'autorité de certification. Outre ce certificat signé, l'autorité de certification émet un certificat racine que vous devez également enregistrer sur votre ordinateur.
- Connectez-vous au répertoire d'administrateur d'ArcGIS Server : http://gisserver.domain.com:6080/arcgis/admin.
- Cliquez sur machines > [nom de la machine] > sslcertificates > importRootOrIntermediate pour importer le certificat racine fourni par l'autorité de certification. Si l'autorité de certification a émis des certificats supplémentaires, importez-les également.
- Accédez à machines > [nom de la machine] > sslcertificates.
- Cliquez sur le nom du certificat auto-signé que vous avez envoyé à l'autorité de certification.
- Cliquez sur importSignedCertificate et accédez à l'emplacement où vous avez enregistré le certificat signé envoyé par l'autorité de certification.
- Cliquez sur Envoyer. Le certificat auto-signé que vous avez créé dans la section précédente est alors remplacé par celui signé par l'autorité de certification.
Configurer ArcGIS Server pour qu'il utilise le certificat signé par une autorité de certification
- Connectez-vous au répertoire d'administrateur d'ArcGIS Server, à l'adresse suivante : http://gisserver.domain.com:6080/arcgis/admin.
- Accédez à machines > [nom de la machine].
- Cliquez sur Modifier.
- Saisissez le nom du certificat signé dans le champ Certificat SSL du serveur. Le nom que vous fournissez doit correspondre à l'alias du certificat auto-signé qui a été remplacé par le certificat signé par l'autorité de certification dans la section précédente.
- Cliquez sur Enregistrer les mises à jour pour appliquer vos modifications.
- Sur la page en cours, consultez la propriété Certificat SSL du serveur pour vous assurer que le certificat SSL de votre choix sera bien utilisé pour SSL.
Configurer chaque serveur SIG de votre déploiement
Dans le cas d'un déploiement d'ArcGIS Server sur plusieurs machines, vous devez obtenir et configurer un certificat signé par une autorité de certification pour chaque serveur SIG faisant partie du site.
Importer le certificat racine de l'autorité de certification dans le magasin de certificats du système d'exploitation
- Sur l'ordinateur qui héberge ArcGIS Server, ouvrez le script init_user_param.sh dans l'éditeur de texte en accédant au répertoire <répertoire d'installation d'ArcGIS Server>/arcgis/server/usr.
- Accédez à la ligne export CA_ROOT_CERTIFICATE_DIR=<Location_to_CA_Root_Certificate> et indiquez un emplacement où tous les certificats racines de l'autorité de certification sont stockés sur le système. Sachez que le compte utilisé pour installer ArcGIS Server doit pouvoir accéder au répertoire spécifié. Vous devez annuler les marques de commentaire appliquées aux lignes en effaçant les caractères dièse [#].
- Enregistrez et fermez le script init_user_param.sh.
- Répétez les étapes 1 à 3 pour chaque machine de serveur SIG du site.
- Redémarrer ArcGIS for Server. Pour ce faire, exécutez le script startserver.sh sur chaque serveur SIG de votre site.
Activer SSL pour votre site
- Connectez-vous au répertoire administrateur d'ArcGIS Server à l'adresse suivante : http://gisserver.domain.com:6080/arcgis/admin.
- Accédez à Sécurité > Configuration > Mettre à jour.
- Pour le paramètre Protocole, sélectionnez l'option HTTP et HTTPS, puis cliquez sur Mettre à jour. Votre site ArcGIS Server est automatiquement redémarré.
- Une fois votre site redémarré, vérifiez que vous pouvez accéder à l'URL https://gisserver.domain.com:6443/arcgis/admin. Si vous n'obtenez aucune réponse de cette URL, ArcGIS Server n'a pas réussi à utiliser le certificat SSL spécifié. Vérifiez votre certificat SSL et configurez ArcGIS Server pour qu'il utilise un nouveau ou un autre certificat SSL.
- Si vous ne parvenez pas à accéder à l'URL https://gisserver.domain.com:6443/arcgis/admin, accédez à Sécurité > Configuration > Mettre à jour.
- Pour le paramètre Protocole, sélectionnez l'option HTTPS seulement, puis cliquez sur Mettre à jour.
Remarque :
En une minute, ArcGIS Web Adaptor peut reconnaître les modifications apportées au protocole de communication de votre site.
Héritage :
Dans les versions 10.2.1 et antérieures, vous deviez reconfigurer ArcGIS Web Adaptor après avoir mis à jour le protocole de communication d'ArcGIS Server. Dans les versions 10.2.2 et ultérieures, cela n'est plus nécessaire.
Accéder à votre site à l'aide du protocole SSL
Dès que le protocole SSL a été configuré, ArcGIS Server surveille la réception de requête HTTPS sur le port 6443. Utilisez les URL ci-dessous pour accéder à ArcGIS Server en toute sécurité :
Gestionnaire ArcGIS Server | https://gisserver.domain.com:6443/arcgis/manager |
Répertoire des services ArcGIS Server | https://gisserver.domain.com:6443/arcgis/rest/services |
Remarque :
Si vous renommez ArcGIS Server alors que SSL est activé, vous pouvez continuer à accéder à ArcGIS Server à l'aide de ce protocole. Toutefois, vous devez générer un nouveau certificat SSL et configurer ArcGIS Server de façon à ce qu'il l'utilise.
Vous avez un commentaire à formuler concernant cette rubrique ?