Skip To Content

Abilitare HTTPS nel server Web

Per rendere sicura la comunicazione di rete tra il ArcGIS Web Adaptor e ArcGIS Enterprise l'organizzazione, utilizzare il protocollo HTTPS.

Il protocollo HTTPS è una tecnologia di sicurezza standard utilizzata per stabilire una connessione crittografata tra un server web e un client web. HTTPS consente di proteggere le comunicazioni di rete identificando e autenticando il server, oltre che assicurando la privacy e l'integrità di tutti i dati trasmessi. Poiché HTTPS impedisce che le informazioni inviate in rete vengano intercettate o manomesse, deve essere utilizzato per qualsiasi meccanismo di accesso o autenticazione e su qualsiasi rete utilizzata per scambiare informazioni riservate o proprietarie.

Nota:

L'uso della porta HTTPS predefinita 443 è appropriato per la stragrande maggioranza delle distribuzioni. In rari casi, un'istanza di ArcGIS Web Adaptor non può utilizzare la porta 443 sul suo server Web per motivi specifici dell'organizzazione. Se ciò è applicabile alla propria organizzazione, vedere Usa porte non predefinite per ArcGIS Web Adaptor del portale, che descrive dettagliatamente i passaggi aggiuntivi per configurare una soluzione.

L'abilitazione di HTTPS su un server web richiede un certificato del server contenente una chiave pubblica e privata. Ogni server web ha un proprio metodo di importazione o di riferimento di un certificato in un listener HTTPS.

Accertati anche che il tuo server Web sia impostato per ignorare certificati client per l'accesso a servizi sicuri tramite HTTPS, a meno che non sia configurata l'autenticazione a livello Web tramite autenticazione con certificato client basata su PKI.

Crea o ottieni un certificato del server

Per creare una connessione HTTPS tra ArcGIS Web Adaptor e l'organizzazione, il server web richiede un certificato del server. Un certificato è un file contenente informazioni sull'identità del server Web. Specifica inoltre la tecnica di crittografia da utilizzare per stabilire un canale sicuro fra il server Web e l'organizzazione. Un certificato deve essere creato dal proprietario del sito Web e firmato digitalmente. Esistono tre tipi di certificati, ovvero firmato da una CA, di dominio e autofirmati, che vengono illustrati di seguito.

Certificati firmati da una CA

I certificati firmati da un'autorità di certificazione (CA) indipendente assicurano ai clienti che l'identità del sito Web è stata verificata. Un'autorità di certificazione è solitamente una terza parte fidata che può attestare l'autenticità di un sito web. Se un sito Web è affidabile, l'autorità di certificazione aggiunge la propria firma digitale al certificato autofirmato di quel sito Web. assicurando ai client web che l'identità del sito Web è stata verificata.

Usa certificati firmati da CA per i sistemi di produzione, specialmente se la tua ArcGIS Enterprise organizzazione sarà accessibile da utenti al di fuori della tua organizzazione.

Quando utilizzi un certificato emesso da un'autorità di certificazione nota, la comunicazione sicura tra il server e il client web avviene automaticamente senza alcuna azione speciale richiesta dall'amministratore dell'organizzazione o dai client che vi accedono. Non viene visualizzato alcun comportamento imprevisto o messaggio di avviso nel browser Web, poiché il sito Web è stato verificato dall'autorità di certificazione.

Certificati di dominio

Se l'organizzazione si trova dietro il firewall e non è possibile utilizzare un certificato firmato da una CA, utilizzare un certificato di dominio. Si tratta di un certificato interno formato dall'autorità di certificazione dell'organizzazione. L'utilizzo di un certificato di dominio consente di ridurre i costi di emissione dei certificati e semplifica la distribuzione dei certificati, poiché i certificati possono essere generati all'interno dell'organizzazione per un uso interno affidabile.

Gli utenti all'interno del tuo dominio non sperimenteranno alcun comportamento imprevisto o messaggi di avviso normalmente associati a un certificato autofirmato, poiché il sito Web è stato verificato dal certificato di dominio. Tuttavia, i certificati di dominio non sono convalidati da un'autorità di certificazione esterna, per cui gli utenti che visitano il tuo sito dall'esterno del tuo dominio non potranno verificare che il tuo certificato rappresenti la parte che afferma di rappresentare. Gli utenti esterni vedranno avvisi del browser sulla possibile inattendibilità del sito, per cui potrebbero ritenere di comunicare con un sito potenzialmente dannoso e decidere di abbandonare il tuo sito.

Certificati autofirmati

Un certificato firmato solo dal proprietario del sito Web è denominato certificato autofirmato. I certificati autofirmati vengono comunemente utilizzati nei siti Web disponibili esclusivamente agli utenti della rete interna di un'organizzazione (LAN). Se si comunica con un sito Web che si trova al di fuori della rete e che utilizza un certificato autofirmato, non esiste alcun modo per verificare che il sito che emette il certificato rappresenta davvero ciò che dice di rappresentare. Potresti comunicare con un sito potenzialmente dannoso, mettendo a rischio le tue informazioni.

La creazione di un certificato autofirmato è da considerarsi un'opzione non adatta a un ambiente di produzione in quanto potrebbe restituire risultati imprevisti e problemi di interazione per tutti gli utenti dell'organizzazione.

Quando configuri l'organizzazione, puoi utilizzare un certificato autofirmato per eseguire alcuni test iniziali per verificare rapidamente l'esito positivo della tua configurazione. Tuttavia, se si utilizza un certificato autofirmato, si verifica quanto segue durante i test:

  • Verranno ricevuti avvisi di sito non attendibile quando si effettua l'accesso all'organizzazione da un browser Web o da un client desktop.

    Quando un browser web verifica la presenza di un certificato autofirmato, viene in genere visualizzato un avviso che chiede di confermare se si desidera accedere al sito. In molti browser vengono visualizzate icone di avviso oppure il colore rosso nella barra degli indirizzi finché si utilizza il certificato autofirmato. Questo tipo di avvertenze compariranno se si configura l'organizzazione con un certificato autofirmato.

  • Non è possibile aprire un servizio federato in Map Viewer, aggiungere un elemento di servizio protetto all'organizzazione, accedere a ArcGIS Server Manager su un server federato o connettersi all'organizzazione da ArcGIS for Office.

    Per consentire l'accesso da ArcGIS for Office, installare il certificato autofirmato nell'archivio certificati delle autorità di certificazione radice attendibili sul computer in cui è in esecuzione ArcGIS for Office.

  • Potrebbero verificarsi comportamenti imprevisti durante la stampa di servizi ospitati e l'accesso all'organizzazione dalle applicazioni client.

Attenzione:

L'elenco dei problemi riscontrabili quando si utilizza un certificato autofirmato, riportato in precedenza, non è esaustivo. Si consiglia di utilizzare un certificato di dominio o un certificato firmato da una CA per testare interamente e installare l'organizzazione ArcGIS Enterprise.

Creare un listener HTTPS

La capacità di un'applicazione di ascoltare su porte privilegiate (da 1 a 1023) generalmente è limitata dall'esecuzione di tali processi dall'utente root. Esistono vari metodi per evitare l'esecuzione del server web come utente root. Di seguito sono riportati degli esempi:

  • Aggiungi la funzionalità CAP_NET_BIND_SERVICE al file dell'unità del servizio o imposta un binario dell'applicazione.
  • Utilizza il pacchetto authbind per consentire l'ascolto di un processo o di una serie di processi su una porta particolare.
  • Esegui il listener del server web su una porta non privilegiata e utilizza regole del firewall per il reinstradamento dei pacchetti inviati alle porte HTTP/HTTPS standard (80/443) su porte non privilegiate (ad esempio 8080/8443).

Per ulteriori informazioni, consulta la documentazione del tuo server web.

Durante la creazione di un listener HTTPS, l'utente che esegue il server web richiederà l'autorizzazione per l'accesso al certificato del server utilizzato per le comunicazioni TLS sulla porta specifica. Se il listener HTTP è funzionale ma HTTPS non è disponibile, il log del server web indicherà il motivo per cui l'associazione del listener alla porta non è riuscito.

Verificare il sito

Dopo aver ottenuto o creato un certificato che è legato alla porta 443, configura l'adattatore web per l'uso con l'organizzazione. È necessario accedere alla pagina di configurazione ArcGIS Web Adaptor pagina di configurazione usando un URL HTTPS come https://webadaptorhost.domain.com/webadaptorname/webadaptor.

Dopo aver configurato l'adattatore web, verifica che HTTPS funzioni correttamente facendo una richiesta HTTPS all'organizzazione, per esempio, https://webadaptorhost.domain.com/webadaptorname/home. Se si sta eseguendo il test con un certificato autofirmato, eliminare gli avvisi del browser relativi alle connessioni non attendibili. Ciò comporta in genere l'aggiunta di un'eccezione al browser, in modo che consenta di comunicare con il sito che utilizza un certificato autofirmato.