HTTPS consente di crittografare le comunicazioni da e verso un server Web e permette alle applicazioni client di verificare l'identità del server Web. Quando si utilizza HTTPS, tutti i server Web in cui è abilitato questo protocollo devono inviare un certificato ai client. Il certificato contiene una dichiarazione di identità (gis.mycity.gov) e una chiave pubblica che può essere utilizzata dal client per inviare informazioni crittografate al server Web.
Portal for ArcGIS spesso trasmette informazioni che devono essere crittografate. Pertanto, il protocollo HTTPS è sempre abilitato nel portale. Si consiglia vivamente di utilizzare un certificato firmato da un'autorità di certificazione (CA) aziendale (interna) o presente sul mercato. Il portale in sé viene fornito con un certificato autofirmato, che non può essere utilizzato per verificare l'identità del server. Sostituendo il certificato autofirmato con un certificato firmato da un'autorità di certificazione è possibile aumentare notevolmente la sicurezza dell'installazione.
Esistono due modi per utilizzare un certificato firmato da un'autorità di certificazione con il portale.
- Generare un nuovo certificato firmato da un'autorità di certificazione: generare una richiesta di firma certificato (CSR, Certificate Signing Request), ottenere la firma dalla propria autorità di certificazione, quindi importare il certificato nel portale.
- Utilizzare un certificato esistente firmato da un'autorità di certificazione: se al computer che ospita il portale è già stato assegnato un certificato esistente firmato da un'autorità di certificazione, importare il certificato nel portale.
Nota:
Questi flussi di lavoro si applicano alla comunicazione HTTPS con Portal for ArcGIS solo sulla porta 7443. Per generare o importare un certificato firmato da un'autorità di certificazione per il Web Adaptor, consultare la documentazione per il server Web in cui il Web Adaptor è installato.
Per le istruzioni complete su tali procedure, vedere i passaggi riportati nelle sezioni che seguono.
Generare un nuovo certificato firmato da un'autorità di certificazione
Si può abilitare HTTPS in modo che utilizzi un nuovo certificato firmato da un'autorità di certificazione aziendale (interna) o presente sul mercato. La procedura è la seguente:
Generare un nuovo certificato
- Accedere alla directory di Portal for ArcGIS come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Fare clic su Sicurezza > Certificati SSL > Genera.
Nota:
Se il portale è ad alta disponibilità, si deve invece navigare su Computer > [computer] > SSLCertificates > Genera e quindi ripetere la seguente procedura per ciascun computer del portale. - Nella pagina Genera certificato, immettere le seguenti informazioni:
- Alias: nome univoco che identifica il nome del certificato (ad esempio, portalcert).
- Algoritmo della chiave: RSA (impostazione predefinita) o DSA.
- Dimensioni della chiave: dimensioni (in bit) utilizzate quando si generano le chiavi crittografiche per creare il certificato. Più grande è la chiave, più risulta difficile infrangere la crittografia; tuttavia, il tempo per decrittografare dati crittografati aumenta proporzionalmente alla dimensione della chiave. Per RSA la dimensione della chiave consigliata è di almeno 2048. Per DSA la dimensione della chiave può essere compresa tra 512 e 1024.
- Algoritmo della firma: utilizzare quello predefinito (SHA256withRSA). Se l'organizzazione prevede limitazioni specifiche per la sicurezza, per DSA è possibile utilizzare uno dei seguenti algoritmi: SHA384withRSA, SHA512withRSA, SHA1withRSA,SHA1withDSA.
- Nome comune: questo campo è opzionale e viene utilizzato per la compatibilità con le versioni precedenti per browser Web e software più vecchi. Si consiglia di utilizzare il nome di dominio completo del computer del portale come nome comune.
- Unità organizzativa: un nome di reparto significativo per gli utenti del sito (ad esempio, GIS Department).
- Organizzazione: nome dell'organizzazione (ad esempio, Esri).
- Città o località: nome della propria città o località (ad esempio, Redlands).
- Stato o provincia: denominazione completa del proprio stato o della propria provincia (ad esempio, California).
- Codice paese: codice di due lettere relativo al paese in cui ha sede l'organizzazione (ad esempio, US).
- Validità: numero di giorni in cui il certificato sarà valido (ad esempio, 365).
- Nome alternativo dell'oggetto: il nome alternativo dell'oggetto (SAN) viene utilizzato per convalidare il certificato SSL presentato dal sito Web cui si accede è stato emesso per tale sito Web.
Se questo parametro viene lasciato vuoto, il nome di dominio completo del computer locale viene utilizzato come valore predefinito. Il campo SAN supporta multipli valori; tuttavia, deve includere il nome dominio completo del sito Web. Il valore del parametro SAN non può contenere spazi.
Con il SAN un certificato consente di utilizzare URL diversi per accedere allo stesso sito Web. Ad esempio, è possibile utilizzare gli URL https://www.esri.com, https://esri e https://10.60.1.16 per accedere allo stesso sito se il certificato SSL viene creato specificando i seguenti valori di parametro:
CN=www.esri.com
SAN=DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- Fare clic su Genera. Nella pagina dei certificati verrà visualizzato un collegamento al certificato.
Richiedere ad un'autorità di certificazione di firmare il certificato
Affinché il browser Web consideri attendibile il certificato, quest'ultimo deve essere verificato e controfirmato da un'autorità di certificazione; ad esempio, dalla propria organizzazione, da Verisign o da Thawte.
- Nella pagina dei certificati, fare clic sul nome del certificato.
- Fare clic su Genera CSR. Nella pagina Genera CSR, copiare il contenuto CSR ed incollarlo in un file. Salvare il file con l'estensione .csr (ad esempio, portalcert.csr).
- Inviare il file CSR a un'autorità di certificazione. Si consiglia di ottenere un certificato con codifica DER (Distinguished Encoding Rules) o Base64. Se l'autorità di certificazione richiede il tipo di server Web cui è destinato il certificato, specificare Other\Unknown o Java Application Server. Dopo aver verificato l'identità, l'autorità di certificazione invierà un file con estensione .crt o .cer.
- Salvare il certificato firmato ricevuto dall'autorità di certificazione nel computer che ospita il portale. Oltre al certificato firmato, l'autorità di certificazione rilascerà anche un certificato radice. Salvare il certificato radice dell'autorità di certificazione nel computer che ospita il portale.
- Accedere alla directory di Portal for ArcGIS come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Fare clic su Sicurezza > Certificati SSL > Importa radice o intermedio.
Nota:
Se il portale è ad alta disponibilità, si deve invece navigare su Computer > [computer] > Certificati SSL > Importa radice o intermedio e quindi ripetere la seguente procedura per ciascun computer del portale. - Passare al percorso del certificato radice fornito dall'autorità di certificazione. Fare clic su Importa. Importare quindi eventuali certificati intermedi rilasciati dall'autorità di certificazione. Portal for ArcGIS verrà riavviato automaticamente per ciascun certificato importato. Non importare il certificato firmato.
- Tornare alla pagina SSLCertificates.
- Fare clic sul nome del certificato generato nella sezione precedente (ad esempio, portalcert).
- Fare clic su Importa certificato firmato e passare al percorso del certificato firmato ricevuto dall'autorità di certificazione.
- Fare clic su Importa. Il certificato creato nella sezione precedente viene sostituito con quello firmato dall'autorità di certificazione.
Configurare Portal for ArcGIS per utilizzare un certificato firmato da un'autorità di certificazione
- Accedere alla directory di Portal for ArcGIS come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Fare clic su Sicurezza > Certificati SSL > Aggiorna.
Nota:
Se il portale è ad alta disponibilità, si deve invece navigare su Computer > [computer] > SSLCertificates > Aggiorna e quindi ripetere la seguente procedura per ciascun computer del portale. - Nel campo Certificato SSL server Web immettere l'alias del certificato firmato da un'autorità di certificazione. L'alias specificato deve corrispondere a quello del certificato sostituito con il certificato firmato da un'autorità di certificazione nella sezione precedente.
- Fare clic su Aggiorna.
Per HTTPS verrà ora utilizzato il certificato firmato dall'autorità di certificazione.
Verificare di poter accedere al portale tramite HTTPS
Provare il seguente URL per verificare se è possibile accedere al portale tramite HTTPS: https://portalhost.domain.com:7443/arcgis/home.
Utilizzare un certificato esistente firmato da un'autorità di certificazione
Se si dispone già di un certificato emesso da un'autorità di certificazione aziendale (interna) o presente sul mercato, può essere utilizzato per abilitare HTTPS.
Importare il certificato radice dell'autorità di certificazione.
- Accedere alla directory di Portal for ArcGIS come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Fare clic su Sicurezza > Certificati SSL > Importa radice o intermedio.
Nota:
Se il portale è ad alta disponibilità, si deve invece navigare su Computer > [computer] > Certificati SSL > Importa radice o intermedio e quindi ripetere la seguente procedura per ciascun computer del portale. - Passare al percorso del certificato radice fornito dall'autorità di certificazione. Fare clic su Importa. Importare quindi eventuali certificati intermedi rilasciati dall'autorità di certificazione. Non importare il certificato firmato da un'autorità di certificazione.
- Riavviare il servizio Portal for ArcGIS.
Importare il certificato esistente firmato da un'autorità di certificazione
Attenzione:
Per importare il certificato nel portale, quest'ultimo e la chiave privata ad esso associata devono essere memorizzati in formato PKCS#12, rappresentato da un file con estensione .p12 o .pfx.
- Fare clic su Sicurezza > Certificati SSL > Importa un certificato server esistente.
Nota:
Se il portale è ad alta disponibilità, si deve invece navigare su Computer > [computer] > SSLCertificates > Importa un certificato server esistente e quindi ripetere la seguente procedura per ciascun computer del portale. - Nella pagina Importa un certificato server esistente, specificare le informazioni seguenti:
- Password del certificato: immettere la password necessaria per sbloccare il file che contiene il certificato.
- Alias: immettere un nome univoco che consenta di identificare facilmente il certificato (ad esempio, rootcert).
- Passare al percorso del certificato esistente firmato da un'autorità di certificazione. Fare clic su Importa.
Configurare Portal for ArcGIS per utilizzare un certificato firmato da un'autorità di certificazione
- Fare clic su Sicurezza > Certificati SSL > Aggiorna.
Nota:
Se il portale è ad alta disponibilità, si deve invece navigare su Computer > [computer] > SSLCertificates > Aggiorna e quindi ripetere la seguente procedura per ciascun computer del portale. - Nel campo Certificato SSL server Web immettere l'alias del certificato esistente firmato da un'autorità di certificazione.
- Fare clic su Aggiorna.
Per HTTPS verrà ora utilizzato il certificato esistente firmato da un'autorità di certificazione.
Verificare di poter accedere al portale tramite HTTPS
Provare il seguente URL per verificare se è possibile accedere al portale tramite HTTPS: https://portalhost.domain.com:7443/arcgis/home.