Skip To Content

Abilitare HTTPS nel server Web

Il protocollo HTTPS è una tecnologia di sicurezza standard utilizzata per stabilire una connessione crittografata tra un server web e un client web. HTTPS consente di proteggere le comunicazioni di rete identificando e autenticando il server, oltre che assicurando la privacy e l'integrità di tutti i dati trasmessi. Poiché HTTPS impedisce che le informazioni inviate in rete vengano intercettate o manomesse, deve essere utilizzato per qualsiasi meccanismo di accesso o autenticazione e su qualsiasi rete utilizzata per scambiare informazioni riservate o proprietarie.

Per crittografare le comunicazioni tra ArcGIS Web Adaptor e Portal for ArcGIS, è richiesto l'utilizzo di HTTPS. Ciò garantisce che i nomi, le password e altre informazioni sensibili non possano essere decifrate mentre vengono trasmesse tra ArcGIS Web Adaptor e il portale. Quando si utilizza HTTPS, la connessione a pagine Web e risorse avviene mediante il protocollo HTTPS anziché HTTP.

Nota:

L’uso della porta HTTPS predefinita 443 è indicato per la maggior parte di utenti. In alcuni rari casi, un'istanza ArcGIS Web Adaptor non può utilizzare la porta 443 sul relativo server Web per motivi specifici dell'organizzazione. Se ciò è applicabile alla propria organizzazione, vedere Usa porte non definite per ArcGIS Web Adaptor del portale, che descrive dettagliatamente i passaggi aggiuntivi per configurare una soluzione.

È necessario ottenere un certificato server e associarlo al sito web che ospita ArcGIS Web Adaptor. La procedura da seguire per caricare un certificato e associarlo a un sito Web è specifica del server Web.

Accertarsi anche che il server Web sia impostato per ignorare i certificati client per accedere correttamente a servizi protetti su HTTPS.

Creare un certificato server

Per stabilire una connessione HTTPS tra ArcGIS Web Adaptor e il portale, il server web richiede un certificato server. Un certificato è un file contenente informazioni sull'identità del server Web. Specifica inoltre la tecnica di crittografia da utilizzare per stabilire un canale sicuro fra il server Web e il portale. Un certificato deve essere creato dal proprietario del sito Web e firmato digitalmente. Esistono tre tipi di certificati, ovvero firmato da una CA, di dominio e autofirmati, che vengono illustrati di seguito.

Certificati firmati da una CA

I certificati firmati da un'autorità di certificazione (CA) devono essere utilizzati per sistemi di produzione, in particolare se la distribuzione del portale ArcGIS Enterprise sarà accessibile da utenti al di fuori della vostra organizzazione. Se ad esempio il portale non è protetto da firewall ed è accessibile tramite Internet, si consiglia di utilizzare un certificato firmato da una CA per garantire ai client esterni all'organizzazione che l'identità del sito Web è stata verificata.

Oltre a essere firmato dal proprietario del sito web, un certificato può essere firmato anche da un'autorità di certificazione (CA) indipendente. Una CA è in genere una terza parte attendibile in grado di certificare l'autenticità di un sito Web. Se un sito web è attendibile, l'autorità di certificazione aggiunge la propria firma digitale al relativo certificato autofirmato, assicurando ai client web che l'identità del sito Web è stata verificata.

Quando viene utilizzato un certificato emesso da un'autorità di certificazione nota, la comunicazione sicura tra il server e il client web avviene automaticamente senza richiedere particolari interventi da parte dell'utente. Nel browser web non si verificano comportamenti imprevisti e non viene visualizzato alcun messaggio di avviso, perché il sito web è stato verificato dalla CA.

Certificati di dominio

Se il portale è protetto da firewall e non è possibile utilizzare un certificato firmato da una CA, la soluzione più valida consiste nell'utilizzare un certificato di dominio. Si tratta di un certificato interno formato dall'autorità di certificazione dell'organizzazione. L'utilizzo di un certificato di dominio consente di ridurre il costo correlato al rilascio di certificati e di facilitare la distribuzione dei certificati, dal momento che possono essere generati rapidamente nell'organizzazione per usi interni attendibili.

Gli utenti appartenenti al dominio non riscontreranno comportamenti imprevisti o messaggi di avviso normalmente associati a un certificato autofirmato, dal momento che il sito è stato verificato dal certificato di dominio. I certificati di dominio non sono però convalidati da una CA esterna, pertanto gli utenti che visitano il sito dall'esterno del dominio non potranno verificare se il certificato corrisponde effettivamente alla parte che dichiara di rappresentare. Verranno infatti presentati avvisi del browser sulla possibile inattendibilità del sito, pertanto gli utenti esterni potrebbero ritenere di comunicare con un sito potenzialmente dannoso e decidere di interrompere la visita.

Creare un certificato di dominio e abilitare HTTPS

Una corretta esecuzione della configurazione guidata di ArcGIS Enterprise richiede che sia abilitato HTTPS in IIS sul computer in cui è installata l'installazione di base.

Se HTTPS non è abilitato, la configurazione guidata non verrà completata e verrà visualizzato il seguente messaggio di errore:

Impossibile raggiungere l'URL del Web Adaptor https://mymachine.mydomain.com/server. Controllare che HTTPS sia stato abilitato per il proprio server Web. Per istruzioni su come abilitare HTTPS, passare all'argomento della Guida: Introduzione ad ArcGIS Enterprise > ArcGIS Enterprise Builder > Pianificare un'installazione di base.

Nota:

Nella maggior parte dei casi, l'amministratore IT darà dei certificati e li assocerà alla porta HTTPS 443.

Nel 2017, Chrome ha cominciato a considerare attendibili i certificati con un Subject Alternative Name (SAN), che non può essere configurato durante la creazione nell’applicazione IIS Manager.

Se si utilizza IIS ed è necessario creare un certificato di dominio, consultare Creare un certificato di dominio, che fornisce uno script da eseguire sul computer, che crea il certificato appropriato e lo associa alla porta HTTPS 443.

Certificati autofirmati

La creazione di un certificato autofirmato è da considerarsi un'opzione non adatta a un ambiente di produzione in quanto potrebbe restituire risultati imprevisti e problemi di interazione per tutti gli utenti del portale.

Un certificato firmato solo dal proprietario del sito Web è denominato certificato autofirmato. I certificati autofirmati vengono comunemente utilizzati nei siti Web disponibili esclusivamente agli utenti della rete interna di un'organizzazione (LAN). Se si comunica con un sito web che si trova al di fuori della rete e che utilizza un certificato autofirmato, non esiste alcun modo per verificare che il sito che emette il certificato rappresenta davvero ciò che dice di essere. È infatti possibile che si stia comunicando con un sito potenzialmente dannoso mettendo a rischio le informazioni personali.

Quando si configura il portale per la prima volta, è possibile utilizzare un certificato autofirmato per eseguire test iniziali e verificare se la configurazione è corretta. Se si utilizza un certificato autofirmato, tenere tuttavia presente che si verificheranno i seguenti comportamenti durante il testing:

  • Il browser web e gli avvisi ArcGIS Desktop relativi all'inattendibilità del sito. Quando un browser web verifica la presenza di un certificato autofirmato, viene in genere visualizzato un avviso che chiede di confermare se si desidera accedere al sito. In molti browser vengono visualizzate icone di avviso oppure il colore rosso nella barra degli indirizzi finché si utilizza il certificato autofirmato. Se si configura il portale con un certificato autofirmato, sarà possibile ricevere avvisi di questo tipo.
  • Impossibile aprire un servizio federato in Map Viewer, aggiungere un elemento del servizio sicuro al portale, effettuare il log in su ArcGIS Server Manager su un server federato e connettersi come il portale da ArcGIS for Office.
  • Si verificano comportamenti imprevisti quando si stampano servizi ospitati e si accede al portale da applicazioni client.
  • Impossibile effettuare l'accesso al portale da ArcGIS for Office a meno che il certificato autofirmato sia installato sull'archivio certificati Autorità di certificazione radice disponibile sul computer che esegue ArcGIS for Office.
Attenzione:

L'elenco dei problemi riscontrabili quando si utilizza un certificato autofirmato, riportato in precedenza, non è esaustivo. Si consiglia di utilizzare un certificato di dominio o un certificato firmato da una CA per testare interamente e distribuire il portale.

Associare il certificato al sito Web

Dopo aver creato un certificato autofirmato, sarà necessario associarlo al sito web che ospita ArcGIS Web Adaptor. L'associazione è costituita dal processo di configurazione del certificato per l'uso della porta 443 sul sito Web.

Nota:

Lo script nell’argomento Creare un certificato di dominio associa il certificato.

Le istruzioni per l'associazione di un certificato a un sito web variano a seconda della piattaforma e della versione del server web. Per istruzioni, contattare l'amministratore di sistema o consultare la documentazione del server Web. Ad esempio, di seguito è descritta la procedura per associare un certificato in IIS.

  1. Selezionare il sito nella vista ad albero e nel riquadro Azioni fare clic su Binding.
    • Se la porta 443 non è disponibile nell'elenco Binding, fare clic su Aggiungi. Dall'elenco a discesa Tipo, selezionare https. Lasciare la porta impostata su 443.

      Elenco binding sito in Gestione IIS

    • Se la porta 443 non è inclusa, selezionarla dall'elenco e fare clic su Modifica.
  2. Dall'elenco a discesa dei certificati, selezionare il nome del certificato e fare clic su OK.

    Nuovo binding in Gestione IIS

Verificare il sito

Dopo aver ottenuto o creato un certificato associato alla porta 443, è possibile configurare Web Adaptor per l'utilizzo con il portale. A tale scopo, è necessario accedere alla pagina di configurazione di ArcGIS Web Adaptor utilizzando un URL HTTPS come https://webadaptorhost.domain.com/webadaptorname/webadaptor.

Dopo aver configurato Web Adaptor, è necessario verificare il corretto funzionamento di HTTPS inviando una richiesta HTTPS al Portale Web, ad esempio https://webadaptorhost.domain.com/webadaptorname/home. Se si sta eseguendo il test con un certificato autofirmato, eliminare gli avvisi del browser relativi alle connessioni non attendibili. Ciò comporta in genere l'aggiunta di un'eccezione al browser, in modo che consenta di comunicare con il sito che utilizza un certificato autofirmato.

Per ulteriori informazioni sull'uso di SSL nella distribuzione del portale, consultare Procedure di sicurezza consigliate.