Per rendere sicura la comunicazione di rete tra il ArcGIS Web Adaptor e ArcGIS Enterprise l'organizzazione, utilizzare il protocollo HTTPS.
Il protocollo HTTPS è una tecnologia di sicurezza standard utilizzata per stabilire una connessione crittografata tra un server web e un client web. HTTPS consente di proteggere le comunicazioni di rete identificando e autenticando il server, oltre che assicurando la privacy e l'integrità di tutti i dati trasmessi. Poiché HTTPS impedisce che le informazioni inviate in rete vengano intercettate o manomesse, deve essere utilizzato per qualsiasi meccanismo di accesso o autenticazione e su qualsiasi rete utilizzata per scambiare informazioni riservate o proprietarie.
Nota:
L'uso della porta HTTPS predefinita 443 è appropriato per la stragrande maggioranza delle distribuzioni. In alcuni rari casi, un'istanza ArcGIS Web Adaptor non può utilizzare la porta 443 sul relativo server Web per motivi specifici dell'organizzazione. Se ciò è applicabile alla propria organizzazione, vedere Usa porte non predefinite per ArcGIS Web Adaptor del portale, che descrive dettagliatamente i passaggi aggiuntivi per configurare una soluzione.
L'abilitazione di HTTPS su un server web richiede un certificato del server contenente una chiave pubblica e privata. Ogni server web ha un proprio metodo di importazione o di riferimento di un certificato in un listener HTTPS.
Accertati anche che il tuo server web sia impostato per ignorare certificati client per l'accesso a servizi sicuri tramite HTTPS, a meno che non sia configurata l'autenticazione a livello di web tramite PKI.
Crea o ottieni un certificato del server
Per creare una connessione HTTPS tra ArcGIS Web Adaptor e l'organizzazione, il server web richiede un certificato del server. Un certificato è un file contenente informazioni sull'identità del server Web. Specifica inoltre la tecnica di crittografia da utilizzare per stabilire un canale sicuro fra il server Web e l'organizzazione. Un certificato deve essere creato dal proprietario del sito Web e firmato digitalmente. Esistono tre tipi di certificati, ovvero firmato da una CA, di dominio e autofirmati, che vengono illustrati di seguito.
Certificati firmati da una CA
I certificati firmati da un'autorità di certificazione (CA) indipendente assicurano ai clienti che l'identità del sito Web è stata verificata. Un'autorità di certificazione è solitamente una terza parte fidata che può attestare l'autenticità di un sito web. Se un sito Web è affidabile, l'autorità di certificazione aggiunge la propria firma digitale al certificato autofirmato di quel sito Web. assicurando ai client web che l'identità del sito Web è stata verificata.
Usa certificati firmati da CA per i sistemi di produzione, specialmente se la tua ArcGIS Enterprise organizzazione sarà accessibile da utenti al di fuori della tua organizzazione.
Quando utilizzi un certificato emesso da un'autorità di certificazione nota, la comunicazione sicura tra il server e il client web avviene automaticamente senza alcuna azione speciale richiesta dall'amministratore dell'organizzazione o dai client che vi accedono. Non viene visualizzato alcun comportamento imprevisto o messaggio di avviso nel browser Web, poiché il sito Web è stato verificato dall'autorità di certificazione.
Certificati di dominio
Se l'organizzazione si trova dietro il firewall e non è possibile utilizzare un certificato firmato da una CA, utilizzare un certificato di dominio. Si tratta di un certificato interno formato dall'autorità di certificazione dell'organizzazione. L'utilizzo di un certificato di dominio consente di ridurre i costi di emissione dei certificati e semplifica la distribuzione dei certificati, poiché i certificati possono essere generati all'interno dell'organizzazione per un uso interno affidabile.
Gli utenti all'interno del tuo dominio non sperimenteranno alcun comportamento imprevisto o messaggi di avviso normalmente associati a un certificato autofirmato, poiché il sito Web è stato verificato dal certificato di dominio. Tuttavia, i certificati di dominio non sono convalidati da un'autorità di certificazione esterna, per cui gli utenti che visitano il tuo sito dall'esterno del tuo dominio non potranno verificare che il tuo certificato rappresenti la parte che afferma di rappresentare. Gli utenti esterni vedranno avvisi del browser sulla possibile inattendibilità del sito, per cui potrebbero ritenere di comunicare con un sito potenzialmente dannoso e decidere di abbandonare il tuo sito.
Creare un certificato di dominio e abilitare HTTPS
Il completamento con successo della procedura guidata di configurazione ArcGIS Enterprise richiede che HTTPS sia abilitato nel server Web sulla macchina in cui è installata la distribuzione di base.
Se HTTPS non è abilitato, la configurazione guidata non verrà completata e riceverai il seguente messaggio di errore:
Impossibile raggiungere l'URL dell'adattatore Web https://mymachine.mydomain.com/server. Controllare che HTTPS sia stato abilitato per il proprio server Web. Per istruzioni su come abilitare HTTPS, passare all'argomento della Guida: Introduzione ad ArcGIS Enterprise > ArcGIS Enterprise Builder > Pianificare un'installazione di base.
Nota:
Nella maggior parte dei casi, l'amministratore IT darà dei certificati e li assocerà alla porta HTTPS 443.
Nel 2017, Google Chrome ha cominciato a considerare attendibili i certificati con un Subject Alternative Name (SAN), che non può essere configurato durante la creazione nell’applicazione IIS Manager.
Se si utilizza IIS ed è necessario creare un certificato di dominio, consultare Creare un certificato di dominio, che fornisce uno script da eseguire sul computer, che crea il certificato appropriato e lo associa alla porta HTTPS 443.
Certificati autofirmati
Un certificato firmato solo dal proprietario del sito Web è denominato certificato autofirmato. I certificati autofirmati vengono comunemente utilizzati nei siti Web disponibili esclusivamente agli utenti della rete interna di un'organizzazione (LAN). Se si comunica con un sito Web che si trova al di fuori della rete e che utilizza un certificato autofirmato, non esiste alcun modo per verificare che il sito che emette il certificato rappresenta davvero ciò che dice di rappresentare. Potresti comunicare con un sito potenzialmente dannoso, mettendo a rischio le tue informazioni.
La creazione di un certificato autofirmato è da considerarsi un'opzione non adatta a un ambiente di produzione in quanto potrebbe restituire risultati imprevisti e problemi di interazione per tutti gli utenti dell'organizzazione.
Quando configuri l'organizzazione, puoi utilizzare un certificato autofirmato per eseguire alcuni test iniziali per verificare rapidamente l'esito positivo della tua configurazione. Tuttavia, se si utilizza un certificato autofirmato, si verifica quanto segue durante i test:
- Verranno ricevuti avvisi di sito non attendibile quando si effettua l'accesso all'organizzazione da un browser Web o da un client desktop.
Quando un browser web verifica la presenza di un certificato autofirmato, viene in genere visualizzato un avviso che chiede di confermare se si desidera accedere al sito. In molti browser vengono visualizzate icone di avviso oppure il colore rosso nella barra degli indirizzi finché si utilizza il certificato autofirmato. Aspettati questo tipo di avvertenze se configuri l'organizzazione con un certificato autofirmato.
- Non è possibile aprire un servizio federato in Map Viewer, aggiungere un elemento di servizio protetto all'organizzazione, accedere a ArcGIS Server Manager su un server federato o connettersi all'organizzazione da ArcGIS for Office.
Per consentire l'accesso da ArcGIS for Office, installare il certificato autofirmato nell'archivio certificati delle autorità di certificazione radice attendibili sul computer in cui è in esecuzione ArcGIS for Office.
- Potrebbero verificarsi comportamenti imprevisti durante la stampa di servizi ospitati e l'accesso all'organizzazione dalle applicazioni client.
Attenzione:
L'elenco dei problemi riscontrabili quando si utilizza un certificato autofirmato, riportato in precedenza, non è esaustivo. Si consiglia di utilizzare un certificato di dominio o un certificato firmato da una CA per testare interamente e installare l'organizzazione ArcGIS Enterprise.
Creare un listener HTTPS
Durante la creazione di un listener HTTPS, l'utente che esegue il server web richiederà l'autorizzazione per l'accesso al certificato del server utilizzato per le comunicazioni TLS sulla porta specifica. Se il listener HTTP è funzionale ma HTTPS non è disponibile, il log del server web indicherà il motivo per cui l'associazione del listener alla porta non è riuscito.
Verificare il sito
Dopo aver ottenuto o creato un certificato che è legato alla porta 443, configura l'adattatore web per l'uso con l'organizzazione. È necessario accedere alla pagina di configurazione ArcGIS Web Adaptor pagina di configurazione usando un URL HTTPS come https://webadaptorhost.domain.com/webadaptorname/webadaptor.
Dopo aver configurato l'adattatore web, verifica che HTTPS funzioni correttamente facendo una richiesta HTTPS all'organizzazione, per esempio, https://webadaptorhost.domain.com/webadaptorname/home. Se si sta eseguendo il test con un certificato autofirmato, eliminare gli avvisi del browser relativi alle connessioni non attendibili. Ciò comporta in genere l'aggiunta di un'eccezione al browser, in modo che consenta di comunicare con il sito che utilizza un certificato autofirmato.