Per rendere sicura la comunicazione di rete tra il ArcGIS Web Adaptor e ArcGIS Enterprise l'organizzazione, utilizzare il protocollo HTTPS.
Il protocollo HTTPS è una tecnologia di sicurezza standard utilizzata per stabilire una connessione crittografata tra un server web e un client web. HTTPS consente di proteggere le comunicazioni di rete identificando e autenticando il server, oltre che assicurando la privacy e l'integrità di tutti i dati trasmessi. Poiché HTTPS impedisce che le informazioni inviate in rete vengano intercettate o manomesse, deve essere utilizzato per qualsiasi meccanismo di accesso o autenticazione e su qualsiasi rete utilizzata per scambiare informazioni riservate o proprietarie.
Nota:
L'uso della porta HTTPS predefinita 443 è appropriato per la stragrande maggioranza delle distribuzioni. In alcuni rari casi, un'istanza ArcGIS Web Adaptor non può utilizzare la porta 443 sul relativo server Web per motivi specifici dell'organizzazione. Se ciò è applicabile alla propria organizzazione, vedere Usa porte non predefinite per ArcGIS Web Adaptor del portale, che descrive dettagliatamente i passaggi aggiuntivi per configurare una soluzione.
È necessario ottenere un certificato server e associarlo al sito web che ospita ArcGIS Web Adaptor. La procedura da seguire per caricare un certificato e associarlo a un sito Web è specifica del server Web.
Assicurati inoltre che il tuo server web sia impostato per ignorare i certificati client per accedere correttamente ai servizi protetti su HTTPS.
Crea o ottieni un certificato del server
Per creare una connessione HTTPS tra ArcGIS Web Adaptor e l'organizzazione, il server web richiede un certificato del server. Un certificato è un file contenente informazioni sull'identità del server Web. Specifica inoltre la tecnica di crittografia da utilizzare per stabilire un canale sicuro fra il server Web e il portale. Un certificato deve essere creato dal proprietario del sito Web e firmato digitalmente. Esistono tre tipi di certificati, ovvero firmato da una CA, di dominio e autofirmati, che vengono illustrati di seguito.
Certificati firmati da una CA
I certificati firmati da un'autorità di certificazione (CA) indipendente assicurano ai clienti che l'identità del sito Web è stata verificata. Un'autorità di certificazione è solitamente una terza parte fidata che può attestare l'autenticità di un sito web. Se un sito Web è affidabile, l'autorità di certificazione aggiunge la propria firma digitale al certificato autofirmato di quel sito Web. assicurando ai client web che l'identità del sito Web è stata verificata.
Usa certificati firmati da CA per i sistemi di produzione, specialmente se la tua ArcGIS Enterprise organizzazione sarà accessibile da utenti al di fuori della tua organizzazione.
Quando si utilizza un certificato emesso da un'autorità di certificazione nota, la comunicazione sicura tra il server e il client Web avviene automaticamente senza alcuna azione speciale richiesta dall'amministratore del portale o dai client che vi accedono. Non viene visualizzato alcun comportamento imprevisto o messaggio di avviso nel browser Web, poiché il sito Web è stato verificato dall'autorità di certificazione.
Certificati di dominio
Se il portale si trova dietro il firewall e non sei in grado di utilizzare un certificato firmato da una CA, utilizza un certificato di dominio. Si tratta di un certificato interno formato dall'autorità di certificazione dell'organizzazione. L'utilizzo di un certificato di dominio consente di ridurre i costi di emissione dei certificati e semplifica la distribuzione dei certificati, poiché i certificati possono essere generati all'interno dell'organizzazione per un uso interno affidabile.
Gli utenti all'interno del tuo dominio non sperimenteranno alcun comportamento imprevisto o messaggi di avviso normalmente associati a un certificato autofirmato, poiché il sito Web è stato verificato dal certificato di dominio. Tuttavia, i certificati di dominio non sono convalidati da un'autorità di certificazione esterna, il che significa che gli utenti che visitano il tuo sito dall'esterno del tuo dominio non saranno in grado di verificare che il tuo certificato rappresenti realmente la parte che afferma di rappresentare. Verranno infatti presentati avvisi del browser sulla possibile inattendibilità del sito, pertanto gli utenti esterni potrebbero ritenere di comunicare con un sito potenzialmente dannoso e decidere di interrompere la visita.
Creare un certificato di dominio e abilitare HTTPS
Il completamento con successo della procedura guidata di configurazione ArcGIS Enterprise richiede che HTTPS sia abilitato nel server Web sulla macchina in cui è installata la distribuzione di base.
Se HTTPS non è abilitato, la configurazione guidata non verrà completata e riceverai il seguente messaggio di errore:
Impossibile raggiungere l'URL dell'adattatore Web https://mymachine.mydomain.com/server. Controllare che HTTPS sia stato abilitato per il proprio server Web. Per istruzioni su come abilitare HTTPS, passare all'argomento della Guida: Introduzione ad ArcGIS Enterprise > ArcGIS Enterprise Builder > Pianificare un'installazione di base.
Nota:
Nella maggior parte dei casi, l'amministratore IT darà dei certificati e li assocerà alla porta HTTPS 443.
Nel 2017, Google Chrome ha cominciato a considerare attendibili i certificati con un Subject Alternative Name (SAN), che non può essere configurato durante la creazione nell’applicazione IIS Manager.
Se si utilizza IIS ed è necessario creare un certificato di dominio, consultare Creare un certificato di dominio, che fornisce uno script da eseguire sul computer, che crea il certificato appropriato e lo associa alla porta HTTPS 443.
Certificati autofirmati
Un certificato firmato solo dal proprietario del sito Web è denominato certificato autofirmato. I certificati autofirmati vengono comunemente utilizzati nei siti Web disponibili esclusivamente agli utenti della rete interna di un'organizzazione (LAN). Se si comunica con un sito web che si trova al di fuori della rete e che utilizza un certificato autofirmato, non esiste alcun modo per verificare che il sito che emette il certificato rappresenta davvero ciò che dice di essere. È infatti possibile che si stia comunicando con un sito potenzialmente dannoso mettendo a rischio le informazioni personali.
La creazione di un certificato autofirmato è da considerarsi un'opzione non adatta a un ambiente di produzione in quanto potrebbe restituire risultati imprevisti e problemi di interazione per tutti gli utenti del portale.
Quando imposti il portale per la prima volta, puoi usare un certificato autofirmato per fare alcuni test iniziali per aiutarti a verificare rapidamente che la tua configurazione abbia avuto successo. Tuttavia, se si utilizza un certificato autofirmato, si verifica quanto segue durante i test:
- Riceverai avvisi sul sito non attendibile quando accedi al portale da un browser Web o da un client desktop.
Quando un browser web verifica la presenza di un certificato autofirmato, viene in genere visualizzato un avviso che chiede di confermare se si desidera accedere al sito. In molti browser vengono visualizzate icone di avviso oppure il colore rosso nella barra degli indirizzi finché si utilizza il certificato autofirmato. Aspettati di vedere questo tipo di avvisi se configuri il portale con un certificato autofirmato.
- Non è possibile aprire un servizio federato in un visualizzatore di mappe, aggiungere un servizio protetto al portale, accedere a ArcGIS Server Manager su un server federato o connettersi al portale da ArcGIS for Office.
Per consentire l'accesso da ArcGIS for Office, installare il certificato autofirmato nell'archivio certificati delle autorità di certificazione radice attendibili sul computer in cui è in esecuzione ArcGIS for Office.
- Potrebbero verificarsi comportamenti imprevisti durante la stampa di servizi ospitati e l'accesso al portale dalle applicazioni client.
Attenzione:
L'elenco dei problemi riscontrabili quando si utilizza un certificato autofirmato, riportato in precedenza, non è esaustivo. Si consiglia di utilizzare un certificato di dominio o un certificato firmato da una CA per testare interamente e distribuire il portale ArcGIS Enterprise.
Associare il certificato al sito Web
Devi associare il tuo certificato all'hosting del sito web ArcGIS Web Adaptor. L'associazione è costituita dal processo di configurazione del certificato per l'uso della porta 443 sul sito Web.
Nota:
Lo script nell’argomento Creare un certificato di dominio associa il certificato.
Le istruzioni per l'associazione di un certificato a un sito web variano a seconda della piattaforma e della versione del server web. Per istruzioni, contattare l'amministratore di sistema o consultare la documentazione del server Web. Ad esempio, di seguito è descritta la procedura per associare un certificato in IIS.
- Selezionare il sito nella vista ad albero e nel riquadro Azioni fare clic su Binding.
- Se la porta 443 non è disponibile nell'elenco Binding, fare clic su Aggiungi. Dall'elenco a discesa Tipo, selezionare https. Lasciare la porta impostata su 443.
- Se la porta 443 non è inclusa, selezionarla dall'elenco e fare clic su Modifica.
- Se la porta 443 non è disponibile nell'elenco Binding, fare clic su Aggiungi. Dall'elenco a discesa Tipo, selezionare https. Lasciare la porta impostata su 443.
- Dall'elenco a discesa dei certificati, selezionare il nome del certificato e fare clic su OK.
Verificare il sito
Dopo aver ottenuto o creato un certificato che è legato alla porta 443, configura l'adattatore web per l'uso con l'organizzazione. È necessario accedere alla pagina di configurazione ArcGIS Web Adaptor pagina di configurazione usando un URL HTTPS come https://webadaptorhost.domain.com/webadaptorname/webadaptor.
Dopo aver configurato l'adattatore web, verifica che HTTPS funzioni correttamente facendo una richiesta HTTPS all'organizzazione, per esempio, https://webadaptorhost.domain.com/webadaptorname/home. Se si sta eseguendo il test con un certificato autofirmato, eliminare gli avvisi del browser relativi alle connessioni non attendibili. Ciò comporta in genere l'aggiunta di un'eccezione al browser, in modo che consenta di comunicare con il sito che utilizza un certificato autofirmato.