Skip To Content

Configurer ArcGIS Server à l’aide d’un nouveau certificat signé par une autorité de certification

Cette rubrique présente la procédure de création d’un certificat, de sa signature par une autorité de certification et de sa configuration avec ArcGIS Server. Suivez la procédure ci-dessous :

Créer un certificat auto-signé

  1. Connectez-vous au répertoire administrateur d'ArcGIS Server à l'adresse suivante : https://gisserver.domain.com:6443/arcgis/admin.
  2. Accédez à machines > [nom de la machine] > sslcertificates.
  3. Cliquez sur Générer.
  4. Indiquez les valeurs des paramètres sur cette page :

    OptionDescription

    Alias

    Nom unique permettant d'identifier aisément le certificat.

    Algorithme de la clé

    Utilisez RSA (valeur par défaut) ou DSA.

    Taille de la clé

    Indique la taille, en bits, à utiliser lors de la génération des clés cryptographiques servant à créer le certificat. Plus la taille est importante, plus la clé est difficile à déchiffrer. Cependant, la durée de déchiffrement des données chiffrées augmente avec la taille de la clé. Pour DSA, la taille de la clé peut être comprise entre 512 et 1 024. Pour RSA, la taille recommandée pour la clé est de 2 048 ou plus.

    Algorithme de la signature

    Utilisez la valeur par défaut (SHA256withRSA). Si votre organisation applique des restrictions de sécurité spécifiques, l’un des algorithmes suivants peut être utilisé pour DSA : SHA384withRSA, SHA512withRSA, SHA1withRSA, SHA1withDSA.

    Nom courant

    Ce champ est facultatif et permet d’assurer la rétrocompatibilité avec des logiciels et navigateurs web plus anciens. Nous vous conseillons d’utiliser le nom de domaine complet du nom de votre serveur comme nom commun.

    Si votre serveur est accessible sur Internet via l'URL https://www.gisserver.com:6443/arcgis/, utilisez www.gisserver.com comme nom commun.

    Si votre serveur est accessible uniquement sur votre réseau local, au moyen de l'URL https://gisserver.domain.com:6443/arcgis, utilisez comme nom commun.

    Unité d'organisation

    Nom de votre unité d'organisation, par exemple, Service SIG.

    Organisation

    Nom de votre organisation, par exemple, Esri.

    Ville ou Localité

    Nom de la ville ou de la localité, par exemple, Paris.

    Département ou région

    Nom complet de votre département ou région, par exemple, Ile de France.

    Code de pays

    Code abrégé de votre pays, par exemple FR.

    Validité

    Durée de validité totale de ce certificat, exprimée en jours, par exemple, 365.

    Autre nom de l'objet

    L’autre nom de l’objet (SAN, Subject Alternative Name) permet de confirmer que le certificat SSL présenté par le site Web auquel vous accédez a été émis pour ce site Web.

    Si ce paramètre est laissé vide, le nom de domaine complet de la machine locale est utilisé en tant que valeur par défaut. Le champ SAN prend en charge plusieurs valeurs ; il doit inclure le nom de domaine complet du site web. La valeur du paramètre SAN ne peut pas contenir d’espaces.

    Par exemple, si vous accédez principalement à votre serveur via l’URL https://www.esri.com, le paramètre SAN doit avoir la valeur DNS:www.esri.com. Si vous accédez à votre serveur à partir d’Internet, en utilisant l’URL https://www.esri.com, et depuis le réseau local de votre organisation via l’URL https://gisserver.esri.com, le paramètre SAN doit avoir la valeur DNS:www.esri.com,DNS:gisserver.esri.com.

    Bien qu’ils soient reconnus, nous ne recommandons pas l’utilisation de caractères génériques (*.esri.com) dans le paramètre SAN. Lorsque le même certificat est utilisé pour plusieurs sites web ou sous-domaines, répertoriez chaque site web ou sous-domaine dans le paramètre SAN, comme l’indique l’exemple suivant :

    Exemple : DNS:www.esri.com,DNS:esri.com,DNS:www.esri.ch,DNS:www.esri.rw,DNS:www.esri.de,DNS:maps.esri.com,DNS:support.esri.com,DNS:pro.arcgis.com.

  5. Cliquez sur Générer pour générer le certificat.

Demander à une autorité de certification de signer le certificat

Pour que les navigateurs Web acceptent votre certificat comme étant fiable, celui-ci doit être vérifié et contresigné par une autorité de certification connue, telle que Verisign ou Thawte.

  1. Ouvrez le certificat auto-signé que vous avez créé dans la section précédente et cliquez sur generateCSR. Copiez le contenu dans un fichier, lequel porte généralement l'extension .csr.
  2. Envoyez le fichier CSR à l'autorité de certification de votre choix Vous pouvez obtenir un certificat encodé par des règles de codage distinctives ou en base 64. Si l'Autorité de certification demande à quel type de serveur Web le certificat est destiné, spécifiez Autre\Inconnu ou Serveur d'applications Java. Une fois votre identité vérifiée, vous recevrez un fichier .crt ou .cer.
  3. Enregistrez sur votre ordinateur le certificat signé renvoyé par l'autorité de certification dans un emplacement accessible depuis le répertoire administrateur ArcGIS Server. Outre ce certificat signé, l'autorité de certification émet un certificat racine que vous devez également enregistrer sur votre ordinateur.
  4. Connectez-vous au répertoire administrateur d'ArcGIS Server : https://gisserver.domain.com:6443/arcgis/admin.
  5. Cliquez sur machines > [nom de la machine] > sslcertificates > importRootOrIntermediate pour importer le certificat racine fourni par l'autorité de certification. Si l'autorité de certification a émis des certificats intermédiaires supplémentaires, veuillez également les importer.
  6. Accédez à machines > [nom de la machine] > sslcertificates.
  7. Cliquez sur le nom du certificat auto-signé que vous avez envoyé à l'autorité de certification.
  8. Cliquez sur importSignedCertificate et accédez à l'emplacement où vous avez enregistré le certificat signé envoyé par l'autorité de certification.
  9. Cliquez sur Envoyer. Le certificat auto-signé que vous avez créé dans la section précédente est alors remplacé par celui signé par l'autorité de certification.

Configurer un site ArcGIS Server pour qu'il utilise le certificat signé par une autorité de certification

Remarque :

Les CDP (CRL Distribution Points) définis dans le certificat signé par l'autorité de certification doivent être valides et accessibles à partir de la machine ou des machines hébergeant ArcGIS Server. Si le CDP défini dans le certificat n'est pas valide ou est inaccessible en raison de paramètres manquants d'accès Internet, de réseau ou de pare-feu, la publication échouera dans ArcGIS Desktop. Pour contourner ce problème, suivez la procédure indiquée dans le problème Je ne peux pas publier un service sur un site ArcGIS Server qui utilise un certificat émis par une autorité de certification, dans la rubrique Problèmes courants et solutions.

  1. Connectez-vous au répertoire administrateur d'ArcGIS Server à l'adresse suivante : https://gisserver.domain.com:6443/arcgis/admin. Remplacez gisserver.domain.com par le nom complet de la machine où ArcGIS Server est installé.
  2. Accédez à machines > [nom de la machine].
  3. Cliquez sur Modifier.
  4. Saisissez le nom du certificat signé dans le champ Certificat SSL du serveur. Le nom que vous fournissez doit correspondre à l'alias du certificat auto-signé qui a été remplacé par le certificat signé par l'autorité de certification dans la section précédente.
  5. Cliquez sur Enregistrer les mises à jour pour appliquer vos modifications. Votre site ArcGIS Server est automatiquement redémarré.
  6. Une fois votre site redémarré, vérifiez que vous pouvez accéder à l'URL https://gisserver.domain.com:6443/arcgis/admin. Si vous n'obtenez aucune réponse de cette URL, ArcGIS Server n'a pas réussi à utiliser le certificat SSL spécifié. Connectez-vous au répertoire d'administrateur ArcGIS Server sur http://gisserver.domain.com:6080/arcgis/admin, vérifiez votre certificat SSL et configurez ArcGIS Server de façon à utiliser un nouveau ou un autre certificat.
  7. Sur la page en cours, consultez la propriété Certificat SSL du serveur Web pour vous assurer que le certificat de votre choix sera bien utilisé pour HTTPS.

Configurer chaque machine ArcGIS Server de votre déploiement

Dans le cas d'un déploiement d'ArcGIS Server sur plusieurs machines, vous devez obtenir et configurer un certificat signé par une autorité de certification pour chaque machine ArcGIS Server du site. Une fois que tous les certificats ont été importés, redémarrez chaque machine du site ArcGIS Server.

Importer le certificat racine de l'autorité de certification dans le magasin de certificats Windows

Si le certificat racine de l'autorité de certification ne se trouve pas dans le magasin de certificats Windows, il doit être importé.

  1. Connectez-vous à une machine hébergeant ArcGIS Server.
  2. Copiez sur cet ordinateur le certificat signé renvoyé par l'autorité de certification.
  3. Ouvrez ce certificat et cliquez sur l'onglet Chemin d'accès au certificat. Si la zone Statut du certificat : contient la valeur Ce certificat est correct., cela signifie que le certificat racine de l'autorité de certification se trouve dans le magasin de certificats Windows et qu'il ne doit pas être importé. Passez à l'étape 12.
  4. Copiez sur cet ordinateur le certificat racine de l'autorité de certification.
  5. Ouvrez ce certificat et cliquez sur l'onglet Général. Cliquez sur le bouton pour Installer un certificat.
  6. Lorsque l’Assistant Importation du certificat affiche la fenêtre Bienvenue, cliquez sur Suivant.
  7. Dans la fenêtre Magasin de certificats, sélectionnez Placer tous les certificats dans le magasin suivant.
  8. Cliquez sur le bouton Parcourir. Dans la boîte de dialogue Sélectionner un magasin de certificats, activez l’option Afficher les magasins physiques.
  9. Développez le dossier Autorités de certification racines de confiance pour en afficher le contenu. Sélectionnez Ordinateur local comme magasin de certificats à utiliser. Cliquez sur OK.
  10. Dans la fenêtreMagasin de certificats, cliquez sur Suivant.
  11. Cliquez sur Finish (Terminer).
  12. Répétez les étapes 1-11 pour chaque machine ArcGIS Server de votre site.
  13. Redémarrez ArcGIS Server sur chaque machine.

Accéder à votre site

Quand HTTPS est activé par défaut, ArcGIS Server écoute les requêtes sur le port 6443. Utilisez les URL ci-dessous pour accéder à ArcGIS Server en toute sécurité :

ArcGIS Server Manager

https://gisserver.domain.com:6443/arcgis/manager

Répertoire des services ArcGIS Server

https://gisserver.domain.com:6443/arcgis/rest/services

Remarque :

Si vous renommez ArcGIS Server, vous pouvez continuer à accéder à ArcGIS Server via HTTPS. Toutefois, vous devez générer un nouveau certificat et configurer ArcGIS Server de façon à ce qu’il l’utilise.