Le protocole HTTPS est une technologie de sécurité standard qui permet d'établir une liaison chiffrée entre un serveur Web et un client Web. HTTPS facilite la sécurisation des communications sur le réseau en identifiant et en authentifiant le serveur, ainsi que la confidentialité et l'intégrité des données transmises. Etant donné que le protocole HTTPS empêche l'écoute ou la falsification des informations envoyées sur le réseau, il doit être utilisé avec un mécanisme de connexion ou d'authentification et sur tout réseau sur lequel transite des informations confidentielles ou propriétaires.
L'utilisation du protocole HTTPS permet d'empêcher les noms, mots de passe et autres informations confidentielles d'être déchiffrés lors de leur envoi entre ArcGIS Web Adaptor et le serveur. Lorsque vous utilisez le protocole HTTPS, vous vous connectez à vos pages et ressources Web à l'aide du protocole HTTPS au lieu du protocole HTTP.
Pour utiliser HTTPS, vous devez obtenir un certificat du serveur et le lier au site Web qui héberge ArcGIS Web Adaptor. Chaque serveur Web suit une procédure qui lui est propre pour charger un certificat et le lier à un site Web.
Vérifiez également que votre serveur Web est configuré de façon à ignorer les certificats clients afin d'accéder correctement aux services sécurisés via HTTPS.
Créer un certificat du serveur
Pour qu'il soit possible de créer une connexion HTTPS entre ArcGIS Web Adaptor et votre serveur, le serveur Web a besoin d'un certificat du serveur. Un certificat est un fichier numérique contenant des informations sur l'identité du serveur Web. Ce certificat contient également la technique de chiffrement à utiliser lors de l'établissement d'un canal sécurisé entre le serveur Web et ArcGIS Server. Il doit être créé par le propriétaire du site Web et signé numériquement. Il existe trois types de certificats : signé par une autorité de certification, de domaine et auto-signé. Ils sont expliqués ci-dessous.
Certificats signés par une autorité de certification
Les certificats signés par une autorité de certification sont utilisés pour les systèmes de production et particulièrement si des utilisateurs doivent accéder à votre déploiement de ArcGIS Server en dehors de votre organisation. Par exemple, si votre serveur ne se trouve pas derrière votre pare-feu et qu'il est accessible sur Internet, les utilisateurs qui y accèdent en dehors de votre organisation sont certains, s'ils utilisent un certificat signé par une autorité de certification, que l'identité du site Web a été vérifiée.
Un certificat peut non seulement être signé par le propriétaire du site Web, mais également par une autorité de certification indépendante. Il s'agit généralement d'un tiers de confiance qui peut attester de l'authenticité d'un site Web. Si un site Web est digne de confiance, l'autorité de certification ajoute sa propre signature numérique au certificat auto-signé. Les clients Web ont ainsi la garantie que l'identité du site Web a été vérifiée.
En cas d'utilisation d'un certificat émis par une autorité de certification connue, une communication sécurisée entre le serveur et le client Web est établie automatiquement sans qu'aucune action spéciale ne soit requise de la part de l'utilisateur. Vous ne remarquez aucun comportement inattendu ou message d'avertissement dans le navigateur Web, car le site Web a été vérifié par l'autorité de certification.
Certificats de domaines
Si votre serveur se trouve derrière votre pare-feu et que vous ne pouvez pas utiliser de certificat signé par une autorité de certification, vous pouvez utiliser un certificat de domaine. Un certificat de domaine est un certificat interne signé par l'autorité de certification de votre organisation. En utilisant un certificat de domaine, vous pouvez réduire les coûts associés à l'émission de certificats et faciliter leur déploiement, car ils sont rapidement générés et approuvés au sein de votre organisation à des fins internes.
Les utilisateurs de votre domaine ne rencontreront aucun comportement inattendu ou message d'avertissement, lesquels sont habituellement associés à un certificat auto-signé, car le site Web a été vérifié par le certificat de domaine. Toutefois, les certificats de domaines ne sont pas validés par une autorité de certification externe. Par conséquent, les utilisateurs qui visitent votre site en dehors de votre domaine ne pourront pas vérifier que votre certificat représente réellement l'entité qu'il prétend représenter. Les utilisateurs externes verront dans le navigateur des avertissements indiquant que le site n'est pas approuvé. Ils pourront alors penser qu'ils communiquent avec une partie malveillante et ne pas visiter votre site.
Créer un certificat de domaine et activer HTTPS
Pour mener à bien l’assistant de configuration d’ArcGIS Enterprise, HTTPS doit être activé sur IIS sur la machine où le déploiement de base est installé.
Si HTTPS n’est pas activé, l’assistant de configuration n’aboutira pas et le message d’erreur suivant apparaîtra :
Impossible d'atteindre l'URL de ArcGIS Web Adaptor https://mymachine.mydomain.com/server. Vérifiez que HTTPS a été activé pour votre serveur web. Pour savoir comment activer HTTPS, accédez à la rubrique d'aide : Présentation de ArcGIS Enterprise > ArcGIS Enterprise Builder > Planifier un déploiement de base.
Remarque :
Dans la plupart des cas, votre administrateur informatique vous fournit des certificats et les lie au port HTTPS 443.
En 2017, Chrome a commencé à approuver uniquement les certificats dotés d’un paramètre SAN (Subject Alternative Name, Autre nom de l’objet), ce qui ne peut pas être configuré lors de la création d’un certificat dans le Gestionnaire des services Internet (IIS).
Si vous utilisez IIS et devez créer un certificat de domaine, consultez Créer un certificat de domaine, qui propose un script à exécuter sur votre machine qui créera le certificat approprié et le liera au port HTTPS 443.
Certificats auto-signés
Un certificat signé uniquement par le propriétaire du site Web est désigné sous le nom de certificat auto-signé. Ce type de certificat est généralement utilisé sur les sites Web accessibles aux seuls utilisateurs du réseau interne (LAN) de l'organisation. Si vous communiquez avec un site Web en dehors de votre propre réseau qui utilise un certificat auto-signé, vous n'avez aucun moyen de vérifier que le site qui émet le certificat représente réellement la partie qu'il prétend représenter. Vous pourriez très bien communiquer avec une partie malveillante et faire courir un risque à vos données.
Si vous utilisez un certificat auto-signé, vous devez vous attendre à voir des avertissements du navigateur Web et de ArcGIS Desktop concernant le manque de fiabilité du site. Lorsqu'un navigateur Web rencontre un certificat auto-signé, il affiche généralement un avertissement et vous demande de confirmer votre souhait d'accéder au site. De nombreux navigateurs affichent des icônes d'avertissement ou une couleur rouge dans la barre d'adresse tant que vous utilisez le certificat auto-signé.
Créer un certificat auto-signé dans IIS
Dans le Gestionnaire des services Internet, procédez ainsi pour créer un certificat auto-signé :
- Dans le volet Connexions, sélectionnez votre serveur dans l'arborescence et double-cliquez sur Certificats du serveur.
- Dans le volet Actions, cliquez sur Créer un certificat auto-signé.
- Attribuez un nom convivial au nouveau certificat, puis cliquez sur OK.
L'étape finale consiste alors à lier le certificat auto-signé au port HTTPS 443. Consultez la section Liaison du certificat au site Web ci-dessous pour en savoir plus.
Lier le certificat au site Web
Si vous avez obtenu un certificat qui n’est pas encore lié au site Web qui héberge ArcGIS Web Adaptor, vous devrez le faire avant de continuer. La liaison désigne la procédure de configuration du certificat afin d'utiliser le port 443 sur le site Web.
Remarque :
Le script qui se trouve dans la rubrique Créer un certificat de domaine liera votre certificat pour vous.
Les instructions relatives à la liaison d'un certificat au site Web varient selon la plateforme utilisée et la version de votre serveur Web. Pour savoir comment procéder, contactez votre administrateur système ou consultez la documentation de votre serveur Web. Voici les étapes à suivre pour lier un certificat dans IIS :
Lier un certificat au port 443 dans IIS
Dans le Gestionnaire des services Internet (IIS), procédez comme suit pour lier un certificat au port HTTPS 443 :
- Sélectionnez votre site dans l'arborescence, puis dans le volet Actions, cliquez sur Liaisons.
- Si le port 443 n'est pas disponible dans la liste Liaisons, cliquez sur Ajouter. Dans la liste déroulante Type, sélectionnez https. Laissez le port défini sur 443.
- Si le port 443 figure dans la liste, sélectionnez-le et cliquez sur Mettre à jour.
- Si le port 443 n'est pas disponible dans la liste Liaisons, cliquez sur Ajouter. Dans la liste déroulante Type, sélectionnez https. Laissez le port défini sur 443.
- Dans la liste déroulante des certificats, sélectionnez le nom de votre certificat et cliquez sur OK.
Tester votre site
Après avoir lié le certificat au site Web, vous pouvez configurer votre adaptateur Web en vue de l'utiliser avec le serveur. Vous aurez besoin d'accéder à la page de configuration de ArcGIS Web Adaptor via une URL HTTPS, telle que https://webadaptorhost.domain.com/webadaptorname/webadaptor.
Une fois ArcGIS Web Adaptor configuré, vous devez tester le bon fonctionnement du protocole HTTPS en transmettant une requête HTTPS à ArcGIS Server Manager, par exemple https://webadaptorhost.domain.com/webadaptorname/manager.
Vous avez un commentaire à formuler concernant cette rubrique ?