Skip To Content

Configurer HTTPS à l'aide d'un nouveau certificat signé par une autorité de certification

Cette rubrique explique comment configurer le protocole HTTPS pour ArcGIS Server à l'aide d'un certificat signé par une autorité de certification. Pour configurer HTTPS à l'aide d'un certificat signé par une autorité de certification, procédez comme suit :

Créer un certificat auto-signé

  1. Connectez-vous au répertoire administrateur d'ArcGIS Server à l'adresse suivante : https://gisserver.domain.com:6443/arcgis/admin.
  2. Accédez à machines > [nom de la machine] > sslcertificates.
  3. Cliquez sur Générer.
  4. Indiquez les valeurs des paramètres sur cette page :

    OptionDescription

    Alias

    Nom unique permettant d'identifier aisément le certificat.

    Algorithme de la clé

    Utilisez RSA (valeur par défaut) ou DSA.

    Taille de la clé

    Indique la taille, en bits, à utiliser lors de la génération des clés cryptographiques servant à créer le certificat. Plus la taille est importante, plus la clé est difficile à déchiffrer. Cependant, la durée de déchiffrement des données chiffrées augmente avec la taille de la clé. Pour DSA, la taille de la clé peut être comprise entre 512 et 1 024. Pour RSA, la taille recommandée pour la clé est de 2 048 ou plus.

    Algorithme de la signature

    Utilisez la valeur par défaut (SHA256withRSA). Si votre organisation applique des restrictions de sécurité spécifiques, l'un des algorithmes suivants peut être utilisé pour DSA : SHA384withRSA, SHA512withRSA, SHA1withRSA, SHA1withDSA.

    Nom courant

    Ce champ est facultatif et permet d’assurer la rétrocompatibilité avec des logiciels et navigateurs Web plus anciens. Nous vous conseillons d’utiliser le nom de domaine complet du nom de votre serveur comme nom commun.

    Si votre serveur est accessible sur Internet via l'URL https://www.gisserver.com:6443/arcgis/, utilisez www.gisserver.com comme nom commun.

    Si votre serveur est accessible uniquement sur votre réseau local, au moyen de l'URL https://gisserver.domain.com:6443/arcgis, utilisez comme nom commun.

    Unité d'organisation

    Nom de votre unité d'organisation, par exemple, Service SIG.

    Organisation

    Nom de votre organisation, par exemple, Esri.

    Ville ou Localité

    Nom de la ville ou de la localité, par exemple, Paris.

    Département ou région

    Nom complet de votre département ou région, par exemple, Ile de France.

    Code de pays

    Code abrégé de votre pays, par exemple FR.

    Validité

    Durée de validité totale de ce certificat, exprimée en jours, par exemple, 365.

    Autre nom de l'objet

    L’autre nom de l’objet (SAN, Subject Alternative Name) permet de confirmer que le certificat SSL présenté par le site Web auquel vous accédez a été émis pour ce site Web.

    Si ce paramètre est laissé vide, le nom de domaine complet de la machine locale est utilisé en tant que valeur par défaut. Le champ SAN prend en charge plusieurs valeurs ; il doit inclure le nom de domaine complet du site web. La valeur du paramètre SAN ne peut pas contenir d’espaces.

    Par exemple, si vous accédez principalement à votre serveur via l’URL https://www.esri.com, le paramètre SAN doit avoir la valeur DNS:www.esri.com. Si vous accédez à votre serveur à partir d’Internet, en utilisant l’URL https://www.esri.com, et depuis le réseau local de votre organisation via l’URL https://gisserver.esri.com, le paramètre SAN doit avoir la valeur DNS:www.esri.com,DNS:gisserver.esri.com.

    Bien qu’ils soient reconnus, nous ne recommandons pas l’utilisation de caractères génériques (*.esri.com) dans le paramètre SAN. Lorsque le même certificat est utilisé pour plusieurs sites Web ou sous-domaines, répertoriez chaque site Web ou sous-domaine dans le paramètre SAN, comme l’indique l'exemple suivant :

    Exemple : DNS:www.esri.com,DNS:esri.com,DNS:www.esri.ch,DNS:www.esri.rw,DNS:www.esri.de,DNS:maps.esri.com,DNS:support.esri.com,DNS:pro.arcgis.com.

  5. Cliquez sur Générer pour générer le certificat.

Demander à une autorité de certification de signer le certificat

Pour que les navigateurs Web acceptent votre certificat comme étant fiable, celui-ci doit être vérifié et contresigné par une autorité de certification connue, telle que Verisign ou Thawte.

Héritage :

Dans les versions 10.5.1 et antérieures, les certificats racines signés par une autorité de certification étaient importés dans le magasin de certificats du système d'exploitation à l'aide de la variable CA_ROOT_CERTIFICATE_DIR du script init_user_param.sh. Avec la version 10.6, cette étape n'est plus nécessaire.

  1. Ouvrez le certificat auto-signé que vous avez créé dans la section précédente et cliquez sur generateCSR. Copiez le contenu dans un fichier, lequel porte généralement l'extension .csr.
  2. Envoyez le fichier CSR à l'autorité de certification de votre choix Vous pouvez obtenir un certificat encodé par des règles de codage distinctives ou en base 64. Si l'Autorité de certification demande à quel type de serveur Web le certificat est destiné, spécifiez Autre\Inconnu ou Serveur d'applications Java. Une fois votre identité vérifiée, vous recevrez un fichier .crt ou .cer.
  3. Enregistrez sur votre ordinateur le certificat signé renvoyé par l'autorité de certification dans un emplacement accessible depuis le répertoire administrateur ArcGIS Server. Outre ce certificat signé, l'autorité de certification émet un certificat racine que vous devez également enregistrer sur votre ordinateur.
  4. Connectez-vous au répertoire administrateur d'ArcGIS Server : https://gisserver.domain.com:6443/arcgis/admin.
  5. Cliquez sur machines > [nom de la machine] > sslcertificates > importRootOrIntermediate pour importer le certificat racine fourni par l'autorité de certification. Si l'autorité de certification a émis des certificats intermédiaires supplémentaires, veuillez également les importer.
  6. Accédez à machines > [nom de la machine] > sslcertificates.
  7. Cliquez sur le nom du certificat auto-signé que vous avez envoyé à l'autorité de certification.
  8. Cliquez sur importSignedCertificate et accédez à l'emplacement où vous avez enregistré le certificat signé envoyé par l'autorité de certification.
  9. Cliquez sur Envoyer. Le certificat auto-signé que vous avez créé dans la section précédente est alors remplacé par celui signé par l'autorité de certification.

Configurer un site ArcGIS Server pour qu'il utilise le certificat signé par une autorité de certification

  1. Connectez-vous au répertoire administrateur d'ArcGIS Server à l'adresse suivante : https://gisserver.domain.com:6443/arcgis/admin. Remplacez gisserver.domain.com par le nom complet de la machine où ArcGIS Server est installé.
  2. Accédez à machines > [nom de la machine].
  3. Cliquez sur Modifier.
  4. Saisissez le nom du certificat signé dans le champ Certificat SSL du serveur. Le nom que vous fournissez doit correspondre à l'alias du certificat auto-signé qui a été remplacé par le certificat signé par l'autorité de certification dans la section précédente.
  5. Cliquez sur Enregistrer les mises à jour pour appliquer vos modifications. Votre site ArcGIS Server est automatiquement redémarré.
  6. Une fois votre site redémarré, vérifiez que vous pouvez accéder à l'URL https://gisserver.domain.com:6443/arcgis/admin. Si vous n'obtenez aucune réponse de cette URL, ArcGIS Server n'a pas réussi à utiliser le certificat SSL spécifié. Connectez-vous au répertoire d'administrateur ArcGIS Server sur http://gisserver.domain.com:6080/arcgis/admin, vérifiez votre certificat SSL et configurez ArcGIS Server de façon à utiliser un nouveau ou un autre certificat.
  7. Sur la page en cours, consultez la propriété Certificat SSL du serveur Web pour vous assurer que le certificat de votre choix sera bien utilisé pour HTTPS.

Configurer chaque machine ArcGIS Server de votre déploiement

Dans le cas d'un déploiement d'ArcGIS Server sur plusieurs machines, vous devez obtenir et configurer un certificat signé par une autorité de certification pour chaque machine ArcGIS Server du site. Une fois que tous les certificats ont été importés, redémarrez chaque machine du site ArcGIS Server.

Configurer HTTPS pour votre site

  1. Vérifiez que vous pouvez accéder à l'URL https://gisserver.domain.com:6443/arcgis/admin. Si vous n'obtenez aucune réponse de cette URL, ArcGIS Server n'a pas réussi à utiliser le certificat spécifié. Vérifiez votre certificat et configurez ArcGIS Server pour qu'il utilise un nouveau ou un autre certificat.
  2. Si vous ne parvenez pas à accéder à l'URL https://gisserver.domain.com:6443/arcgis/admin, accédez à sécurité > config > mettre à jour.
  3. Pour le paramètre Protocole, sélectionnez l'option HTTPS seulement, puis cliquez sur Mettre à jour.
Remarque :

En une minute, ArcGIS Web Adaptor peut reconnaître les modifications apportées au protocole de communication de votre site.

Héritage :

Dans les versions 10.2.1 et antérieures, vous deviez reconfigurer ArcGIS Web Adaptor après avoir mis à jour le protocole de communication d'ArcGIS Server. Dans les versions 10.2.2 et ultérieures, cela n’est plus nécessaire.

Accéder à votre site à l'aide du protocole HTTPS

Dès que le protocole HTTPS est configuré, ArcGIS Server écoute la réception de requête HTTPS sur le port 6443. Utilisez les URL ci-dessous pour accéder à ArcGIS Server en toute sécurité :

ArcGIS Server Manager

https://gisserver.domain.com:6443/arcgis/manager

Répertoire des services ArcGIS Server

https://gisserver.domain.com:6443/arcgis/rest/services

Remarque :

Si vous renommez ArcGIS Server alors que HTTPS est activé, vous pouvez continuer à accéder à ArcGIS Server à l'aide de ce protocole. Toutefois, vous devez générer un nouveau certificat et configurer ArcGIS Server de façon à ce qu'il l'utilise.