Cette rubrique explique comment configurer le protocole HTTPS pour ArcGIS Server à l'aide d'un certificat signé par une autorité de certification. Pour configurer HTTPS à l'aide d'un certificat signé par une autorité de certification, procédez comme suit :
- Créer un certificat auto-signé.
- Demander à une autorité de certification de signer le certificat.
- Configurer un site ArcGIS Server pour qu'il utilise le certificat signé par une autorité de certification.
- Configurer chaque ArcGIS Server de votre déploiement.
- Importer le certificat racine de l'autorité de certification dans le magasin de certificats Windows.
- Configurer HTTPS pour votre site.
- Accéder à votre site à l'aide du protocole HTTPS.
Créer un certificat auto-signé
- Connectez-vous au répertoire administrateur d'ArcGIS Server à l'adresse suivante : https://gisserver.domain.com:6443/arcgis/admin.
- Accédez à machines > [nom de la machine] > sslcertificates.
- Cliquez sur Générer.
- Indiquez les valeurs des paramètres sur cette page :
Option Description Alias
Nom unique permettant d'identifier aisément le certificat.
Algorithme de la clé
Utilisez RSA (valeur par défaut) ou DSA.
Taille de la clé
Indique la taille, en bits, à utiliser lors de la génération des clés cryptographiques servant à créer le certificat. Plus la taille est importante, plus la clé est difficile à déchiffrer. Cependant, la durée de déchiffrement des données chiffrées augmente avec la taille de la clé. Pour DSA, la taille de la clé peut être comprise entre 512 et 1 024. Pour RSA, la taille recommandée pour la clé est de 2 048 ou plus.
Algorithme de la signature
Utilisez la valeur par défaut (SHA256withRSA). Si votre organisation applique des restrictions de sécurité spécifiques, l'un des algorithmes suivants peut être utilisé pour DSA : SHA384withRSA, SHA512withRSA, SHA1withRSA, SHA1withDSA.
Nom courant
Ce champ est facultatif et permet d’assurer la rétrocompatibilité avec des logiciels et navigateurs Web plus anciens. Nous vous conseillons d’utiliser le nom de domaine complet du nom de votre serveur comme nom commun.
Si votre serveur est accessible sur Internet via l'URL https://www.gisserver.com:6443/arcgis/, utilisez www.gisserver.com comme nom commun.
Si votre serveur est accessible uniquement sur votre réseau local, au moyen de l'URL https://gisserver.domain.com:6443/arcgis, utilisez comme nom commun.
Unité d'organisation
Nom de votre unité d'organisation, par exemple, Service SIG.
Organisation
Nom de votre organisation, par exemple, Esri.
Ville ou Localité
Nom de la ville ou de la localité, par exemple, Paris.
Département ou région
Nom complet de votre département ou région, par exemple, Ile de France.
Code de pays
Code abrégé de votre pays, par exemple FR.
Validité
Durée de validité totale de ce certificat, exprimée en jours, par exemple, 365.
Autre nom de l'objet
L’autre nom de l’objet (SAN, Subject Alternative Name) permet de confirmer que le certificat SSL présenté par le site Web auquel vous accédez a été émis pour ce site Web.
Si ce paramètre est laissé vide, le nom de domaine complet de la machine locale est utilisé en tant que valeur par défaut. Le champ SAN prend en charge plusieurs valeurs ; il doit inclure le nom de domaine complet du site web. La valeur du paramètre SAN ne peut pas contenir d’espaces.
Par exemple, si vous accédez principalement à votre serveur via l’URL https://www.esri.com, le paramètre SAN doit avoir la valeur DNS:www.esri.com. Si vous accédez à votre serveur à partir d’Internet, en utilisant l’URL https://www.esri.com, et depuis le réseau local de votre organisation via l’URL https://gisserver.esri.com, le paramètre SAN doit avoir la valeur DNS:www.esri.com,DNS:gisserver.esri.com.
Bien qu’ils soient reconnus, nous ne recommandons pas l’utilisation de caractères génériques (*.esri.com) dans le paramètre SAN. Lorsque le même certificat est utilisé pour plusieurs sites Web ou sous-domaines, répertoriez chaque site Web ou sous-domaine dans le paramètre SAN, comme l’indique l'exemple suivant :
Exemple : DNS:www.esri.com,DNS:esri.com,DNS:www.esri.ch,DNS:www.esri.rw,DNS:www.esri.de,DNS:maps.esri.com,DNS:support.esri.com,DNS:pro.arcgis.com.
- Cliquez sur Générer pour générer le certificat.
Demander à une autorité de certification de signer le certificat
Pour que les navigateurs Web acceptent votre certificat comme étant fiable, celui-ci doit être vérifié et contresigné par une autorité de certification connue, telle que Verisign ou Thawte.
- Ouvrez le certificat auto-signé que vous avez créé dans la section précédente et cliquez sur generateCSR. Copiez le contenu dans un fichier, lequel porte généralement l'extension .csr.
- Envoyez le fichier CSR à l'autorité de certification de votre choix Vous pouvez obtenir un certificat encodé par des règles de codage distinctives ou en base 64. Si l'Autorité de certification demande à quel type de serveur Web le certificat est destiné, spécifiez Autre\Inconnu ou Serveur d'applications Java. Une fois votre identité vérifiée, vous recevrez un fichier .crt ou .cer.
- Enregistrez sur votre ordinateur le certificat signé renvoyé par l'autorité de certification dans un emplacement accessible depuis le répertoire administrateur ArcGIS Server. Outre ce certificat signé, l'autorité de certification émet un certificat racine que vous devez également enregistrer sur votre ordinateur.
- Connectez-vous au répertoire administrateur d'ArcGIS Server : https://gisserver.domain.com:6443/arcgis/admin.
- Cliquez sur machines > [nom de la machine] > sslcertificates > importRootOrIntermediate pour importer le certificat racine fourni par l'autorité de certification. Si l'autorité de certification a émis des certificats intermédiaires supplémentaires, veuillez également les importer.
- Accédez à machines > [nom de la machine] > sslcertificates.
- Cliquez sur le nom du certificat auto-signé que vous avez envoyé à l'autorité de certification.
- Cliquez sur importSignedCertificate et accédez à l'emplacement où vous avez enregistré le certificat signé envoyé par l'autorité de certification.
- Cliquez sur Envoyer. Le certificat auto-signé que vous avez créé dans la section précédente est alors remplacé par celui signé par l'autorité de certification.
Configurer un site ArcGIS Server pour qu'il utilise le certificat signé par une autorité de certification
Remarque :
Les CDP (CRL Distribution Points) définis dans le certificat signé par l'autorité de certification doivent être valides et accessibles à partir de la machine ou des machines hébergeant ArcGIS Server. Si le CDP défini dans le certificat n'est pas valide ou est inaccessible en raison de paramètres manquants d'accès Internet, de réseau ou de pare-feu, la publication échouera dans ArcGIS Desktop. Pour contourner ce problème, suivez la procédure indiquée dans le problème Je ne peux pas publier un service sur un site ArcGIS Server qui utilise un certificat émis par une autorité de certification, dans la rubrique Problèmes courants et solutions.
- Connectez-vous au répertoire administrateur d'ArcGIS Server à l'adresse suivante : https://gisserver.domain.com:6443/arcgis/admin. Remplacez gisserver.domain.com par le nom complet de la machine où ArcGIS Server est installé.
- Accédez à machines > [nom de la machine].
- Cliquez sur Modifier.
- Saisissez le nom du certificat signé dans le champ Certificat SSL du serveur. Le nom que vous fournissez doit correspondre à l'alias du certificat auto-signé qui a été remplacé par le certificat signé par l'autorité de certification dans la section précédente.
- Cliquez sur Enregistrer les mises à jour pour appliquer vos modifications. Votre site ArcGIS Server est automatiquement redémarré.
- Une fois votre site redémarré, vérifiez que vous pouvez accéder à l'URL https://gisserver.domain.com:6443/arcgis/admin. Si vous n'obtenez aucune réponse de cette URL, ArcGIS Server n'a pas réussi à utiliser le certificat SSL spécifié. Connectez-vous au répertoire d'administrateur ArcGIS Server sur http://gisserver.domain.com:6080/arcgis/admin, vérifiez votre certificat SSL et configurez ArcGIS Server de façon à utiliser un nouveau ou un autre certificat.
- Sur la page en cours, consultez la propriété Certificat SSL du serveur Web pour vous assurer que le certificat de votre choix sera bien utilisé pour HTTPS.
Configurer chaque machine ArcGIS Server de votre déploiement
Dans le cas d'un déploiement d'ArcGIS Server sur plusieurs machines, vous devez obtenir et configurer un certificat signé par une autorité de certification pour chaque machine ArcGIS Server du site. Une fois que tous les certificats ont été importés, redémarrez chaque machine du site ArcGIS Server.
Importer le certificat racine de l'autorité de certification dans le magasin de certificats Windows
Si le certificat racine de l'autorité de certification ne se trouve pas dans le magasin de certificats Windows, il doit être importé.
- Connectez-vous à une machine hébergeant ArcGIS Server.
- Copiez sur cet ordinateur le certificat signé renvoyé par l'autorité de certification.
- Ouvrez ce certificat et cliquez sur l'onglet Chemin d'accès au certificat. Si la zone Statut du certificat : contient la valeur Ce certificat est correct., cela signifie que le certificat racine de l'autorité de certification se trouve dans le magasin de certificats Windows et qu'il ne doit pas être importé. Passez à l'étape 12.
- Copiez sur cet ordinateur le certificat racine de l'autorité de certification.
- Ouvrez ce certificat et cliquez sur l'onglet Général. Cliquez sur le bouton pour Installer un certificat.
- Lorsque l’Assistant Importation de certificat affiche la fenêtre Bienvenue, cliquez sur Suivant.
- Dans la fenêtre Magasin de certificats, sélectionnez Placer tous les certificats dans le magasin suivant.
- Cliquez sur le bouton Parcourir. Dans la boîte de dialogue Sélectionner un magasin de certificats, activez l’option Afficher les magasins physiques.
- Développez le dossier Autorités de certification racines de confiance pour en afficher le contenu. Sélectionnez Ordinateur local comme magasin de certificats à utiliser. Cliquez sur OK.
- Dans la fenêtreMagasin de certificats, cliquez sur Suivant.
- Cliquez sur Finish (Terminer).
- Répétez les étapes 1-11 pour chaque machine ArcGIS Server de votre site.
- Redémarrez ArcGIS Server sur chaque machine.
Configurer HTTPS pour votre site
- Vérifiez que vous pouvez accéder à l'URL https://gisserver.domain.com:6443/arcgis/admin. Si vous n'obtenez aucune réponse de cette URL, ArcGIS Server n'a pas réussi à utiliser le certificat spécifié. Vérifiez votre certificat et configurez ArcGIS Server pour qu'il utilise un nouveau ou un autre certificat.
- Si vous ne parvenez pas à accéder à l'URL https://gisserver.domain.com:6443/arcgis/admin, accédez à sécurité > config > mettre à jour.
- Pour le paramètre Protocole, sélectionnez l'option HTTPS seulement, puis cliquez sur Mettre à jour.
Remarque :
En une minute, ArcGIS Web Adaptor peut reconnaître les modifications apportées au protocole de communication de votre site.
Héritage :
Dans les versions 10.2.1 et antérieures, vous deviez reconfigurer ArcGIS Web Adaptor après avoir mis à jour le protocole de communication d'ArcGIS Server. Dans les versions 10.2.2 et ultérieures, cela n’est plus nécessaire.
Accéder à votre site à l'aide du protocole HTTPS
Dès que le protocole HTTPS est configuré, ArcGIS Server écoute la réception de requête HTTPS sur le port 6443. Utilisez les URL ci-dessous pour accéder à ArcGIS Server en toute sécurité :
ArcGIS Server Manager | https://gisserver.domain.com:6443/arcgis/manager |
Répertoire des services ArcGIS Server | https://gisserver.domain.com:6443/arcgis/rest/services |
Remarque :
Si vous renommez ArcGIS Server alors que HTTPS est activé, vous pouvez continuer à accéder à ArcGIS Server à l'aide de ce protocole. Toutefois, vous devez générer un nouveau certificat et configurer ArcGIS Server de façon à ce qu'il l'utilise.
Vous avez un commentaire à formuler concernant cette rubrique ?