Skip To Content

Importare un certificato nel portale

HTTPS consente di crittografare le comunicazioni da e verso un server Web e permette alle applicazioni client di verificare l'identità del server Web. Quando si utilizza HTTPS, tutti i server Web in cui è abilitato questo protocollo devono inviare un certificato ai client. Il certificato contiene una dichiarazione di identità (gis.mycity.gov) e una chiave pubblica che può essere utilizzata dal client per inviare informazioni crittografate al server Web.

Portal for ArcGIS spesso trasmette informazioni che devono essere crittografate. Pertanto, il protocollo HTTPS è sempre abilitato nel portale. Si consiglia di utilizzare un certificato firmato da un'autorità di certificazione (CA) aziendale (interna) o presente sul mercato. Il portale in sé include un certificato autofirmato, che non può essere utilizzato per verificare l'identità del server. Sostituendo il certificato autofirmato con un certificato firmato da un'autorità di certificazione è possibile aumentare la sicurezza dell'installazione.

Esistono due modi per utilizzare un certificato firmato da un'autorità di certificazione con il portale.

Nota:

Questi flussi di lavoro si applicano alla comunicazione HTTPS con Portal for ArcGIS solo sulla porta 7443. Per generare o importare un certificato firmato da un'autorità di certificazione per il Web Adaptor, consultare la documentazione per il server Web in cui il Web Adaptor è installato.

Per le istruzioni complete su tali procedure, vedere i passaggi riportati nelle sezioni che seguono.

Generare un nuovo certificato firmato da un'autorità di certificazione

Si può abilitare HTTPS in modo che utilizzi un nuovo certificato firmato da un'autorità di certificazione aziendale (interna) o presente sul mercato. I passaggi sono i seguenti:

Generare un nuovo certificato

Per generare un nuovo certificato, procedere come segue:

  1. Accedere alla directory di Portal Administrator come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Fare clic su Sicurezza > Certificati SSL > Genera.

    Nota:
    Se il portale è ad alta disponibilità, seguire il percorso Computer > [computer] > Certificati SSL > Genera, quindi ripetere la seguente procedura per ciascun computer del portale.

  3. Nella pagina Genera certificato, immettere le seguenti informazioni:
    • Alias: nome univoco che identifica il nome del certificato (ad esempio, portalcert).
    • Algoritmo della chiave: RSA (impostazione predefinita) o DSA.
    • Dimensioni della chiave: dimensioni (in bit) utilizzate quando si generano le chiavi crittografiche per creare il certificato. Più grande è la chiave, più risulta difficile infrangere la crittografia; tuttavia, il tempo per decrittografare dati crittografati aumenta proporzionalmente alla dimensione della chiave. Per RSA la dimensione della chiave consigliata è di almeno 2048. Per DSA la dimensione della chiave può essere compresa tra 512 e 1024.
    • Algoritmo della firma: utilizzare quello predefinito (SHA256withRSA). Se l'organizzazione prevede limitazioni specifiche per la sicurezza, per DSA è possibile utilizzare uno dei seguenti algoritmi: SHA384withRSA, SHA512withRSA, SHA1withRSA o SHA1withDSA.
    • Nome comune: questo campo è opzionale e viene utilizzato per la retrocompatibilità con le versioni precedenti per browser Web e software più vecchi. Si consiglia di utilizzare il nome di dominio completo del computer del portale come nome comune.
    • Unità organizzativa: un nome di reparto significativo per gli utenti del sito (ad esempio, GIS Department).
    • Organizzazione: nome dell'organizzazione (ad esempio, Esri).
    • Città o località: nome della propria città o località (ad esempio, Redlands).
    • Stato o provincia: denominazione completa del proprio stato o della propria provincia (ad esempio, California).
    • Codice paese: codice di due lettere relativo al paese in cui ha sede l'organizzazione (ad esempio, US).
    • Validità: numero di giorni in cui il certificato sarà valido (ad esempio, 365).
    • Nome alternativo dell'oggetto: il nome alternativo dell'oggetto (SAN) viene utilizzato per convalidare il certificato SSL presentato dal sito Web cui si accede è stato emesso per tale sito Web.

      Se questo parametro viene lasciato vuoto, il nome di dominio completo del computer locale viene utilizzato come valore predefinito. Il campo SAN supporta multipli valori; tuttavia, deve includere il nome dominio completo del sito Web. Il valore del parametro SAN non può contenere spazi.

      Con il SAN un certificato consente di utilizzare URL diversi per accedere allo stesso sito Web. Ad esempio, è possibile utilizzare gli URL https://www.esri.com, https://esri e https://10.60.1.16 per accedere allo stesso sito se il certificato SSL viene creato specificando i seguenti valori di parametro:

      CN=www.esri.com

      SAN=DNS:www.esri.com,DNS:esri,IP:10.60.1.16

  4. Fare clic su Genera. Nella pagina dei certificati verrà visualizzato un collegamento al certificato.

Richiedere ad un'autorità di certificazione di firmare il certificato

Affinché il browser Web consideri attendibile il certificato, quest'ultimo deve essere verificato e controfirmato da un'autorità di certificazione; ad esempio, dalla propria organizzazione, da Verisign o da Thawte.

  1. Nella pagina dei certificati, fare clic sul nome del certificato.
  2. Fare clic su Genera CSR. Nella pagina Genera CSR, copiare il contenuto CSR ed incollarlo in un file. Salvare il file con l'estensione .csr (ad esempio, portalcert.csr).
  3. Inviare il CSR a un'autorità di certificazione. Si consiglia di ottenere un certificato con codifica DER (Distinguished Encoding Rules) o Base64. Se l'autorità di certificazione richiede il tipo di server Web cui è destinato il certificato, specificare Other\Unknown o Java Application Server. Dopo aver verificato l'identità, l'autorità di certificazione invierà un file con estensione .crt o .cer.
  4. Salvare il certificato firmato ricevuto dall'autorità di certificazione nel computer che ospita il portale. Oltre al certificato firmato, l'autorità di certificazione rilascerà anche un certificato radice. Salvare il certificato radice dell'autorità di certificazione nel computer che ospita il portale.
  5. Accedere alla directory di Portal Administrator come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  6. Fare clic su Sicurezza > Certificati SSL > Importa radice o intermedio.

    Nota:
    Se il portale è ad alta disponibilità, seguire il percorso Computer > [computer] > Certificati SSL > Importa radice o intermedio, quindi ripetere la seguente procedura per ciascun computer del portale.

  7. Passare al percorso del certificato radice fornito dall'autorità di certificazione e fare clic su Importa. Importare quindi eventuali certificati intermedi rilasciati dall'autorità di certificazione. Portal for ArcGIS verrà riavviato automaticamente per ciascun certificato importato. Non importare il certificato firmato.
  8. Tornare alla pagina SSLCertificates.
  9. Fare clic sul nome del certificato generato nella sezione precedente (ad esempio, portalcert).
  10. Fare clic su Importa certificato firmato e passare al percorso del certificato firmato ricevuto dall'autorità di certificazione.
  11. Fare clic su Importa. Il certificato creato nella sezione precedente viene sostituito con quello firmato dall'autorità di certificazione.
  12. Portal for ArcGISviene riavviato automaticamente. Al termine del riavvio, il portale è configurato per il certificato specificato.

Configurare Portal for ArcGIS per l'utilizzo di un certificato firmato da un’autorità di certificazione

Per configurare Portal for ArcGIS in modo che utilizzi il certificato firmato, completare i seguenti passaggi:

  1. Accedere alla directory di Portal Administrator come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Fare clic su Sicurezza > Certificati SSL > Aggiorna.

    Nota:
    Se il portale è ad alta disponibilità, seguire il percorso Computer > [computer] > Certificati SSL > Aggiorna, quindi ripetere la seguente procedura per ciascun computer del portale.

  3. Nel campo Certificato SSL server Web immettere l'alias del certificato firmato da un'autorità di certificazione. L'alias specificato deve corrispondere a quello del certificato sostituito con il certificato firmato da un'autorità di certificazione nella sezione precedente.
  4. Fare clic su Aggiorna.

Per HTTPS verrà ora utilizzato il certificato firmato dall'autorità di certificazione.

Verificare di poter accedere al portale tramite HTTPS

Provare il seguente URL per verificare se è possibile accedere al portale tramite HTTPS: https://portalhost.domain.com:7443/arcgis/home.

Utilizzare un certificato esistente firmato da un'autorità di certificazione

Se si dispone già di un certificato emesso da un'autorità di certificazione aziendale (interna) o presente sul mercato, può essere utilizzato per abilitare HTTPS.

Importare un certificato esistente firmato da un'autorità di certificazione

Attenzione:

Per importare il certificato nel portale, quest'ultimo e la chiave privata ae esso associata devono essere memorizzati in formato PKCS#12, rappresentato da un file con estensione .p12 o .pfx.

  1. Accedere alla directory di Portal Administrator come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Fare clic su Sicurezza > Certificati SSL > Importa un certificato server esistente.

    Nota:
    Se il portale è ad alta disponibilità, seguire invece il percorso Computer > [computer] > Certificati SSL > Importa un certificato server esistente, quindi ripetere la seguente procedura per ciascun computer del portale.

  3. Nella pagina Importa un certificato server esistente, specificare le informazioni seguenti:
    • Password del certificato: immettere la password necessaria per sbloccare il file che contiene il certificato.
    • Alias: immettere un nome univoco che consenta di identificare facilmente il certificato (ad esempio, rootcert).
    • File: passare alla posizione del certificato esistente firmato e selezionarlo.
    • Importare una catena di certificati: quando selezionato, tutti i certificati radice o intermedi inclusi nel file .pfx o .p12 verranno importati. L'alias per questi certificati corrisponderà all'alias inserito in precedenza e sarà aggiunto a _root o _intermediate, a seconda del tipo di certificato.
  4. Fare clic su Importa.

Importare il certificato radice dell'autorità di certificazione.

Dopo aver importato un certificato firmato esistente, i certificati radice e intermedi potrebbero essere già stati importati. Essi verranno elencati in Sicurezza> SSLCertificates.

Se non sono stati importati o se sono necessari certificati radice o intermedi aggiuntivi, completare i seguenti passaggi:

  1. Fare clic su Sicurezza > Certificati SSL > Importa radice o intermedio.

    Nota:
    Se il portale è ad alta disponibilità, seguire il percorso Computer > [computer] > Certificati SSL > Importa radice o intermedio, quindi ripetere la seguente procedura per ciascun computer del portale.

  2. Passare al percorso del certificato radice fornito dall'autorità di certificazione e fare clic su Importa. Importare quindi eventuali certificati intermedi rilasciati dall'autorità di certificazione. Non importare il certificato firmato da un'autorità di certificazione.
  3. Riavviare il servizio Portal for ArcGIS.

Configurare Portal for ArcGIS per l'utilizzo di un certificato firmato da un’autorità di certificazione

Per configurare Portal for ArcGIS in modo che utilizzi il certificato firmato, completare i seguenti passaggi:

  1. Fare clic su Sicurezza > Certificati SSL > Aggiorna.

    Nota:
    Se il portale è ad alta disponibilità, seguire il percorso Computer > [computer] > Certificati SSL > Aggiorna, quindi ripetere la seguente procedura per ciascun computer del portale.

  2. Nel campo Certificato SSL server Web immettere l'alias del certificato esistente firmato da un'autorità di certificazione.
  3. Fare clic su Aggiorna.

Per HTTPS verrà utilizzato il certificato esistente firmato da un'autorità di certificazione.

Verificare di poter accedere al portale tramite HTTPS

Provare il seguente URL per verificare se è possibile accedere al portale tramite HTTPS: https://portalhost.domain.com:7443/arcgis/home.