Cette rubrique explique comment configurer le protocole HTTPS pour ArcGIS Server à l'aide d'un certificat auto-signé. Les étapes suivantes permettent de configurer HTTPS à l'aide d'un certificat auto-signé :
- Créer un certificat auto-signé.
- Configurer ArcGIS Server pour qu'il utilise le certificat.
- Configurer chaque serveur SIG de votre déploiement.
- Configurer HTTPS pour votre site.
- Accéder à votre site à l'aide du protocole HTTPS.
- Importer le certificat dans le magasin de certificats du système d'exploitation.
Créer un certificat auto-signé
- Connectez-vous au répertoire administrateur d'ArcGIS Server à l'adresse suivante : https://gisserver.domain.com:6443/arcgis/admin.
- Accédez à machines > [nom de la machine] > sslcertificates.
- Cliquez sur Générer.
- Indiquez les valeurs des paramètres sur cette page :
Option Description Alias
Nom unique permettant d'identifier aisément le certificat.
Algorithme de la clé
Utilisez RSA (valeur par défaut) ou DSA.
Taille de la clé
Indique la taille, en bits, à utiliser lors de la génération des clés cryptographiques servant à créer le certificat. Plus la taille est importante, plus la clé est difficile à déchiffrer. Cependant, la durée de déchiffrement des données chiffrées augmente avec la taille de la clé. Pour DSA, la taille de la clé peut être comprise entre 512 et 1 024. Pour RSA, la taille recommandée pour la clé est de 2 048 ou plus.
Algorithme de la signature
Utilisez l'algorithme par défaut (SHA1withRSA). Si votre organisation applique des restrictions de sécurité spécifiques, l'un des algorithmes suivants peut être utilisé pour DSA : SHA256withRSA, SHA384withRSA, SHA512withRSA, SHA1withDSA.
Nom courant
Utilisez le nom de domaine de votre serveur comme nom courant.
Si votre serveur est accessible sur Internet, au moyen de l'URL https://www.gisserver.com:6443/arcgis/, utilisez .
Si votre serveur est accessible uniquement sur votre réseau local, au moyen de l'URL https://gisserver.domain.com:6443/arcgis, utilisez comme nom commun.
Unité d'organisation
Nom de votre unité d'organisation, par exemple, Service SIG.
Organisation
Nom de votre organisation, par exemple, Esri.
Ville ou Localité
Nom de la ville ou de la localité, par exemple, Paris.
Département ou région
Nom complet de votre département ou région, par exemple, Ile de France.
Code de pays
Code abrégé de votre pays, par exemple FR.
Validité
Durée de validité totale de ce certificat, exprimée en jours, par exemple, 365.
Autre nom de l'objet
L'autre nom de l'objet (SAN, Subject Alternative Name) est un paramètre facultatif qui définit des alias pour le nom commun (CN, Common Name) spécifié dans le certificat. La valeur du paramètre SAN ne peut contenir aucun espace.
Si aucun SAN n'est défini, un site Web est uniquement accessible (sans erreurs de certificat) à l'aide du nom commun indiqué dans l'URL. Si un SAN est défini et qu'un nom DNS est présent, le site Web est uniquement accessible par ce qui est répertorié dans le SAN. Si vous le souhaitez, vous pouvez indiquer plusieurs noms DNS. Par exemple, les URL https://www.esri.com, https://esri et https://10.60.1.16 peuvent servir à accéder au même site si le certificat est créé à l'aide de la valeur de paramètre SAN suivante :
DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- Cliquez sur Générer pour générer le certificat.
Configurer ArcGIS Server pour qu'il utilise le certificat
Pour indiquer le certificat qui sera utilisé par ArcGIS Server, procédez comme suit :
- Connectez-vous au répertoire administrateur d'ArcGIS Server à l'adresse suivante : https://gisserver.domain.com:6443/arcgis/admin.
- Accédez à machines > [nom de la machine].
- Cliquez sur Modifier.
- Saisissez le nom du certificat à utiliser dans le champ Certificat SSL du serveur Web.
- Cliquez sur Enregistrer les mises à jour pour appliquer vos modifications. Votre site ArcGIS Server est automatiquement redémarré.
- Une fois votre site redémarré, vérifiez que vous pouvez accéder à l'URL https://gisserver.domain.com:6443/arcgis/admin. Si vous n'obtenez aucune réponse de cette URL, ArcGIS Server n'a pas réussi à utiliser le certificat. Connectez-vous au répertoire d'administrateur d'ArcGIS Server sur http://gisserver.domain.com:6080/arcgis/admin, vérifiez votre certificat SSL et configurez ArcGIS Server de façon à utiliser un nouveau ou un autre certificat.
- Sur la page en cours, consultez la propriété Certificat SSL du serveur Web pour vous assurer que le certificat de votre choix sera bien utilisé pour HTTPS.
Configurer chaque serveur SIG de votre déploiement
Dans le cas d'un déploiement d'ArcGIS Server sur plusieurs machines, vous devez créer un certificat auto-signé pour chaque serveur SIG faisant partie du site et configurer ce serveur SIG de sorte qu'il utilise le certificat.
Configurer HTTPS pour votre site
- Vérifiez que vous pouvez accéder à l'URL https://gisserver.domain.com:6443/arcgis/admin. Si vous n'obtenez aucune réponse de cette URL, ArcGIS Server n'a pas réussi à utiliser le certificat spécifié. Vérifiez votre certificat et configurez ArcGIS Server pour qu'il utilise un nouveau ou un autre certificat.
- Si vous ne parvenez pas à accéder à l'URL https://gisserver.domain.com:6443/arcgis/admin, accédez à sécurité > config > mettre à jour.
- Pour le paramètre Protocole, sélectionnez l'option HTTPS seulement, puis cliquez sur Mettre à jour.
Remarque :
En une minute, ArcGIS Web Adaptor peut reconnaître les modifications apportées au protocole de communication de votre site.
Héritage :
Dans les versions 10.2.1 et antérieures, vous deviez reconfigurer ArcGIS Web Adaptor après avoir mis à jour le protocole de communication d'ArcGIS Server. Dans les versions 10.2.2 et ultérieures, cela n'est plus nécessaire.
Accéder à votre site à l'aide du protocole HTTPS
Dès que le protocole HTTPS est configuré, ArcGIS Server écoute la réception de requête HTTPS sur le port 6443. Utilisez les URL ci-dessous pour accéder à ArcGIS Server en toute sécurité :
Gestionnaire ArcGIS Server | https://gisserver.domain.com:6443/arcgis/manager |
Répertoire des services ArcGIS Server | https://gisserver.domain.com:6443/arcgis/rest/services |
Remarque :
Si vous renommez ArcGIS Server alors que HTTPS est activé, vous pouvez continuer à accéder à ArcGIS Server à l'aide de ce protocole. Toutefois, vous devez générer un nouveau certificat et configurer ArcGIS Server de façon à ce qu'il l'utilise.
Importer le certificat dans le magasin de certificats du système d'exploitation
Pour que les services ArcGIS, tels que le service PrintingTools, fonctionnent avec une instance ArcGIS Server dotée d'un chiffrement HTTPS, le certificat du serveur doit être installé en tant que certificat approuvé :
- Connectez-vous au répertoire d'administrateur d'ArcGIS Server.
- Accédez à machines > [nom de la machine] > sslcertificates.
- Cliquez sur le certificat utilisé par ArcGIS Server, puis sur Exporter. Enregistrez le fichier à l'emplacement où sont stockés les certificats racines de l'autorité de certification sur votre ordinateur.
- Sur la machine qui héberge ArcGIS Server, ouvrez le script init_user_param.sh dans un éditeur de texte en accédant au répertoire <ArcGIS Server installation directory>/arcgis/server/usr.
- Accédez à la ligne export CA_ROOT_CERTIFICATE_DIR=<Location_to_CA_Root_Certificate> et indiquez un emplacement où tous les certificats racines de l'autorité de certification sont stockés sur le système. Sachez que le compte utilisé pour installer ArcGIS Server doit pouvoir accéder au répertoire spécifié. Vous devez annuler les marques de commentaire appliquées aux lignes en effaçant les caractères dièse (#).
- Enregistrez et fermez le script init_user_param.sh.
- Redémarrer ArcGIS for Server. Pour ce faire, exécutez le script startserver.sh sur chaque serveur SIG de votre site.
- Répétez les étapes ci-dessus pour chaque serveur SIG du site.
Vous avez un commentaire à formuler concernant cette rubrique ?