Lorsqu'ArcGIS Web Adaptor a été configuré pour transmettre des requêtes à votre site ArcGIS Server, vous devez activer HTTPS sur le serveur web hébergeant ArcGIS Web Adaptor et configurer HTTPS sur le site ArcGIS Serverr. Pour commencer, suivez les étapes décrites dans les sections ci-dessous.
- Créer un certificat auto-signé.
- Demander à une autorité de certification de signer le certificat.
- Configurer ArcGIS Server pour qu'il utilise le nouveau certificat.
- Configurer chaque machine de votre déploiement.
- Configurer HTTPS uniquement pour votre site.
- Configurer HTTPS sur ArcGIS Web Adaptor.
- Accéder à votre site à l'aide du protocole HTTPS.
Créer un certificat auto-signé
- Connectez-vous au répertoire administrateur d'ArcGIS Server à l'adresse suivante : https://gisserver.domain.com:6443/arcgis/admin.
- Accédez à machines > [nom de la machine] > sslcertificates.
- Cliquez sur Générer.
- Indiquez les valeurs des paramètres sur cette page :
Option Description Alias
Nom unique permettant d'identifier aisément le certificat.
Algorithme de la clé
Utilisez RSA (valeur par défaut) ou DSA.
Taille de la clé
Indique la taille, en bits, à utiliser lors de la génération des clés cryptographiques servant à créer le certificat. Plus la taille est importante, plus la clé est difficile à déchiffrer. Cependant, la durée de déchiffrement des données chiffrées augmente avec la taille de la clé. Pour DSA, la taille de la clé peut être comprise entre 512 et 1 024. Pour RSA, la taille recommandée pour la clé est de 2 048 ou plus.
Algorithme de la signature
Utilisez l'algorithme par défaut (SHA1withRSA). Si votre organisation applique des restrictions de sécurité spécifiques, l'un des algorithmes suivants peut être utilisé pour DSA : SHA256withRSA, SHA384withRSA, SHA512withRSA, SHA1withDSA.
Nom courant
Utilisez le nom de domaine de votre serveur comme nom courant.
Si votre serveur est accessible sur Internet via l'URL https://www.gisserver.com:6443/arcgis/, utilisez www.gisserver.com comme nom commun.
Si votre serveur est accessible uniquement sur votre réseau local, au moyen de l'URL https://gisserver.domain.com:6443/arcgis, utilisez comme nom commun.
Unité d'organisation
Nom de votre unité d'organisation, par exemple, Service SIG.
Organisation
Nom de votre organisation, par exemple, Esri.
Ville ou Localité
Nom de la ville ou de la localité, par exemple, Paris.
Département ou région
Nom complet de votre département ou région, par exemple, Ile de France.
Code de pays
Code abrégé de votre pays, par exemple FR.
Validité
Durée de validité totale de ce certificat, exprimée en jours, par exemple, 365.
Autre nom de l'objet
L'autre nom de l'objet (SAN, Subject Alternative Name) est un paramètre facultatif qui définit des alias pour le nom commun (CN, Common Name) spécifié dans le certificat. La valeur du paramètre SAN ne peut contenir aucun espace.
Si ce paramètre est laissé vide, le nom de domaine complet de la machine locale est utilisé en tant que valeur par défaut. Le champ SAN prend en charge plusieurs valeurs ; il doit inclure le nom de domaine complet du site web. Par exemple, les URL https://www.esri.com, https://esri et https://10.60.1.16 peuvent servir à accéder au même site si le certificat est créé à l'aide de la valeur de paramètre SAN suivante :
DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- Cliquez sur Générer pour générer le certificat.
Demander à une autorité de certification de signer le certificat
Si ArcGIS Web Adaptor est la seule passerelle vers votre site et que la stratégie de sécurité informatique de votre organisation permet l'utilisation des certificats auto-signés, vous pouvez ignorer cette section. Toutefois, si les utilisateurs peuvent contourner ArcGIS Web Adaptor et accéder à ArcGIS Server directement ou si vos règles informatiques interdisent l'utilisation des certificats auto-signés, il est recommandé de demander à une autorité de certification de signer votre certificat en procédant comme suit.
- Ouvrez le certificat auto-signé que vous avez créé dans la section précédente et cliquez sur generateCSR. Copiez le contenu dans un fichier, lequel porte généralement l'extension *.csr.
- Envoyez le fichier CSR à l'autorité de certification de votre choix Vous pouvez obtenir un certificat encodé par des règles de codage distinctives ou en base 64. Si l'Autorité de certification demande à quel type de serveur Web le certificat est destiné, spécifiez Autre\Inconnu ou Serveur d'applications Java. Une fois votre identité vérifiée, vous recevrez un fichier *.crt ou *.cer.
- Enregistrez sur votre ordinateur le certificat signé renvoyé par l'autorité de certification. Outre ce certificat signé, l'autorité de certification émet un certificat racine que vous devez également enregistrer sur votre ordinateur.
- Connectez-vous au répertoire d'administrateur d'ArcGIS Server : https://gisserver.domain.com:6443/arcgis/admin.
- Cliquez sur machines > [nom de la machine] > sslcertificates > importRootOrIntermediate pour importer le certificat racine fourni par l'autorité de certification. Si l'autorité de certification a émis des certificats intermédiaires supplémentaires, veuillez également les importer.
- Accédez à machines > [nom de la machine] > sslcertificates.
- Cliquez sur le nom du certificat auto-signé que vous avez envoyé à l'autorité de certification.
- Cliquez sur importSignedCertificate et accédez à l'emplacement où vous avez enregistré le certificat signé envoyé par l'autorité de certification.
- Cliquez sur Envoyer. Le certificat auto-signé que vous avez créé dans la section précédente est alors remplacé par celui signé par l'autorité de certification.
Configurer ArcGIS Server pour qu'il utilise le certificat
Pour indiquer le certificat qui sera utilisé par ArcGIS Server, procédez comme suit :
- Connectez-vous au répertoire administrateur d'ArcGIS Server à l'adresse suivante : https://gisserver.domain.com:6443/arcgis/admin.
- Accédez à machines > [nom de la machine].
- Cliquez sur Modifier.
- Saisissez le nom du certificat à utiliser dans le champ Certificat SSL du serveur Web.
- Cliquez sur Enregistrer les mises à jour pour appliquer vos modifications. Votre site ArcGIS Server est automatiquement redémarré.
- Une fois votre site redémarré, vérifiez que vous pouvez accéder à l'URL https://gisserver.domain.com:6443/arcgis/admin. Si vous n'obtenez aucune réponse de cette URL, ArcGIS Server n'a pas réussi à utiliser le certificat SSL spécifié. Vérifiez votre certificat SSL et configurez ArcGIS Server pour qu'il utilise un nouveau ou un autre certificat.
- Sur la page en cours, consultez la propriété Certificat SSL du serveur Web pour vous assurer que le certificat de votre choix sera bien utilisé pour HTTPS.
Configurer chaque machine de votre déploiement
Si vous disposez d'un déploiement d'ArcGIS Server sur plusieurs machines, vous devez configurer chaque machine de votre déploiement pour qu'il utilise le certificat. Répétez les étapes de la section précédente pour configurer le certificat avec chaque machine ArcGIS Server.
Configurer HTTPS uniquement pour votre site
- Connectez-vous au répertoire administrateur d'ArcGIS Server à l'adresse suivante : https://gisserver.domain.com:6443/arcgis/admin.
- Accédez à Sécurité > Configuration > Mettre à jour.
- Pour le paramètre Protocole, sélectionnez l'option HTTPS seulement, puis cliquez sur Mettre à jour. ArcGIS Server est redémarré.
- Testez ensuite votre accès à l'URL HTTPS d'ArcGIS Server, par exemple https://gisserver.domain.com:6443/arcgis/rest/services.
Configurer HTTPS sur ArcGIS Web Adaptor
Activez HTTPS sur le serveur web hébergeant ArcGIS Web Adaptor. Pour savoir comment procéder, reportez-vous à la documentation du produit propre à votre serveur Web. Pour en savoir plus sur le chiffrement HTTPS, reportez-vous à la rubrique Activation de HTTPS sur votre serveur Web.
Héritage :
Dans les versions 10.2.1 et antérieures, vous deviez reconfigurer ArcGIS Web Adaptor après avoir mis à jour le protocole de communication d'ArcGIS Server. Dans les versions 10.2.2 et ultérieures, cela n’est plus nécessaire.
Accéder à votre site à l'aide du protocole HTTPS
Une fois HTTPS configuré, vous pouvez accéder directement à ArcGIS Server, en toute sécurité, via HTTPS, en utilisant le port 6443 ou l'URL d'ArcGIS Web Adaptor. Si vous renommez ArcGIS Server alors que HTTPS est activé, vous pouvez continuer à accéder à ArcGIS Server à l'aide de ce protocole. Toutefois, vous devez générer un nouveau certificat et configurer ArcGIS Server de façon à ce qu'il l'utilise. Les URL ont le format suivant :
ArcGIS Server Manager | Accès au gestionnaire via le serveur : https://gisserver.domain.com:6443/arcgis/manager. Accès au gestionnaire via ArcGIS Web Adaptor (uniquement si l'accès administratif est autorisé) : https://webadaptorhost.domain.com/webadaptorname/manager. |
Répertoire des services ArcGIS Server | Accès au répertoire des services via le serveur : https://gisserver.domain.com:6443/arcgis/rest/services. Accès au répertoire des services via ArcGIS Web Adaptor : https://webadaptorhost.domain.com/webadaptorname/rest/services. |
Vous avez un commentaire à formuler concernant cette rubrique ?