HTTPS 프로토콜은 웹 서버와 웹 클라이언트 간에 암호화된 링크를 설정하는 데 사용되는 표준 보안 기술입니다. HTTPS는 서버를 식별하고 인증할 뿐 아니라 전송되는 모든 데이터의 개인 정보 보호 및 무결성을 보장하여 보안 네트워크 통신을 지원합니다. HTTPS는 네트워크를 통해 전송되는 정보의 도청 또는 변조를 방지하므로 통신에 기밀 정보 또는 재산적 가치가 있는 정보가 포함된 모든 네트워크에서 로그인 또는 인증 메커니즘과 함께 사용되어야 합니다.
ArcGIS Web Adaptor와 Portal for ArcGIS 간의 네트워크 통신을 암호화하려면 포트 443에서 HTTPS를 사용해야 합니다. 다른 포트는 사용할 수 없습니다. HTTPS를 사용하면 ArcGIS Web Adaptor와 포털 간에 전송되는 이름, 비밀번호, 기타 중요한 정보의 해독이 방지됩니다. HTTPS를 사용하는 경우 HTTP 대신 HTTPS 프로토콜을 사용하여 웹 페이지와 리소스에 연결하게 됩니다.
서버 인증서를 가져와 ArcGIS Web Adaptor를 호스팅하는 웹 사이트에 바인딩해야 합니다. 웹 서버마다 인증서를 불러와서 웹 사이트에 바인딩하는 고유한 절차가 있습니다.
또한 HTTPS를 통해 보안 서비스에 올바르게 접근하려면 웹 서버가 클라이언트 인증서를 무시하도록 설정되어 있는지도 확인해야 합니다.
서버 인증서 생성
ArcGIS Web Adaptor와 포털 간에 HTTPS 연결을 생성하려면 웹 서버에 서버 인증서가 필요합니다. 인증서는 웹 서버 ID에 대한 정보가 포함된 디지털 파일입니다. 여기에는 웹 서버와 포털 간의 보안 채널을 설정할 때 사용되는 암호화 기술도 포함되어 있습니다. 인증서는 웹 사이트 소유자가 생성해야 하며 디지털로 서명되어야 합니다. 인증서에는 아래 설명된 CA 서명, 도메인 및 자체 서명의 세 가지 유형이 있습니다.
CA 서명 인증서
CA(인증 기관) 서명 인증서는 프로덕션 시스템에 사용해야 하며, 특히 기관의 외부 사용자가 Portal for ArcGIS 배포에 접근할 경우에 사용됩니다. 예를 들어 포털이 방화벽 뒤에 있지 않고 인터넷을 통해 접근할 수 있는 경우 CA 서명 인증서를 사용하면 기관 외부의 클라이언트에 대해 웹 사이트 ID가 확인됩니다.
웹 사이트 소유자가 서명하는 것 외에 독립된 CA에서 인증서를 서명할 수도 있습니다. CA는 일반적으로 웹 사이트의 신뢰성을 보증할 수 있는 신뢰할 수 있는 제3자입니다. 웹 사이트를 신뢰할 수 있는 경우 CA는 웹 사이트의 자체 서명된 인증서에 고유한 디지털 서명을 추가합니다. 이는 웹 사이트의 ID가 확인되었음을 웹 클라이언트에 보증합니다.
잘 알려진 CA에서 발행한 인증서를 사용하는 경우 사용자가 특별한 작업을 수행하지 않아도 서버와 웹 클라이언트 간의 보안 통신이 자동으로 발생합니다. CA에서 웹 사이트를 확인했으므로 웹 브라우저에서 예기치 않은 동작 또는 경고 메시지가 나타나지 않습니다.
도메인 인증서
포털이 방화벽 뒤에 있을 때 CA 서명 인증서를 사용할 수 없는 경우 도메인 인증서를 사용할 수 있습니다. 도메인 인증서는 기관의 인증 기관이 서명한 내부 인증서입니다. 도메인 인증서를 사용하면 신뢰할 수 있는 내부용으로 기관 내에서 인증서를 신속하게 생성할 수 있으므로 인증서 발급 비용이 절감되고 인증서 배포가 간편해집니다.
웹 사이트가 도메인 인증서로 확인되었으므로 도메인 내의 사용자에게 일반적으로 자체 서명 인증서와 관련된 예기치 않은 동작 또는 경고 메시지가 나타나지 않습니다. 그러나 도메인 인증서는 외부 CA에서 검증할 수 없으므로 도메인 외부에서 사이트를 방문하는 사용자는 인증서가 실제로 해당 사이트를 나타내는지 확인할 수 없습니다. 외부 사용자에게는 신뢰할 수 없는 사이트에 대한 브라우저 경고가 표시되며 이로 인해 해당 사용자는 악성 사이트를 방문한 것으로 생각하고 사이트의 방문을 중단할 수 있습니다.
IIS에서 도메인 인증서 생성
IIS 관리자에서 도메인 인증서를 생성하려면 다음을 수행합니다.
- 연결 창의 트리 보기에서 서버를 선택하고 서버 인증서를 더블 클릭합니다.
- 작업 창에서 도메인 인증서 만들기를 클릭합니다.
- 고유 이름 속성 대화상자에서 인증서에 필요한 정보를 입력합니다.
- 일반 이름에는 머신의 정규화된 도메인 이름(예: portal.domain.com)을 입력해야 합니다.
- 기타 등록정보에는 기관 및 위치에 특정한 정보를 입력합니다.
- 다음을 클릭합니다.
- 온라인 인증 기관 대화상자에서 선택을 클릭하고 도메인 내에서 인증서를 서명할 인증 기관을 선택합니다. 이 옵션을 사용할 수 없는 온라인 인증 기관 지정 필드에 도메인 인증 기관(예: City Of Redlands Enterprise Root\REDCASRV.empty.local)을 입력합니다. 이 단계에 대한 도움이 필요한 경우 시스템 관리자에게 문의하세요.
- 도메인 인증서의 사용자에게 친숙한 이름을 입력하고 마침을 클릭합니다.
마지막 단계로 HTTPS 포트 443에 도메인 인증서를 바인딩합니다. 자세한 내용은 아래의 웹 사이트에 인증서 바인딩을 참고하세요.
자체 서명된 인증서
프로덕션 환경에서는 자체 서명된 인증서 생성을 유효한 옵션으로 고려해서는 안 됩니다. 포털의 모든 사용자에게 예기치 않은 결과가 발생하고 환경의 성능이 저하됩니다.
웹 사이트 소유자만 서명한 인증서를 자체 서명된 인증서라고 합니다. 자체 서명된 인증서는 주로 기관의 내부(LAN) 네트워크 사용자만 사용할 수 있는 웹 사이트에서 사용됩니다. 자체 서명된 인증서를 사용하는 내부 네트워크 외부의 웹 사이트와 통신하는 경우 인증서를 발급하는 사이트가 허위 사이트가 아닌지 확인할 방법이 없습니다. 실제로 악의적인 사이트와 통신하여 정보가 유출되는 위험에 처할 수 있습니다.
포털을 처음 설정하는 경우 자체 서명된 인증서를 사용하여 일부 초기 설정을 수행하면 구성에 성공했는지 빠르게 확인할 수 있습니다. 그러나 자체 서명된 인증서를 사용할 경우 테스트 시 다음과 같은 상황이 발생하게 됩니다.
- 웹 브라우저 및 ArcGIS Desktop에 신뢰할 수 없는 사이트에 대한 경고가 나타납니다. 웹 브라우저에서 자체 서명된 인증서가 발견된 경우 일반적으로 경고가 나타나며 사이트로 이동할지 확인하는 메시지가 나타납니다. 자체 서명된 인증서를 사용하는 한 많은 브라우저에서 경고 아이콘이 나타나거나 주소 표시줄에 빨간색이 나타납니다. 자체 서명된 인증서로 포털을 구성한 경우 이러한 유형의 경고가 표시되는 것을 예상해야 합니다.
- 포털 맵 뷰어에서 페더레이션된 서비스를 열거나, 포털에 보안 서비스 항목을 추가하거나, 페더레이션된 서버에서 ArcGIS Server Manager에 로그인하거나, ArcGIS Maps for Office에서 포털에 연결할 수 없습니다.
- 클라이언트 응용프로그램에서 호스팅 서비스를 인쇄하고 포털에 접근할 때 예기치 않은 동작이 발생합니다.
- ArcGIS Maps for Office를 실행하는 머신의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 자체 서명된 인증서가 설치되지 않은 경우 ArcGIS Maps for Office에서 포털에 로그인할 수 없습니다.
주의:
자체 서명된 인증서를 사용할 때 발생하는 문제는 위 목록에 국한되지 않습니다. 도메인 인증서 또는 CA 서명 인증서를 사용하여 포털을 완전히 테스트하고 배포하는 것이 좋습니다.
IIS에서 자체 서명된 인증서 생성
IIS 관리자에서 자체 서명된 인증서를 생성하려면 다음을 수행합니다.
- 연결 창의 트리 보기에서 서버를 선택하고 서버 인증서를 더블 클릭합니다.
- 작업 창에서 자체 서명된 인증서 만들기를 클릭합니다.
- 새 인증서의 사용자에게 친숙한 이름을 입력하고 확인을 클릭합니다.
마지막 단계로 HTTPS 포트 443에 자체 서명된 인증서를 바인딩합니다. 자세한 내용은 아래의 웹 사이트에 인증서 바인딩을 참고하세요.
웹 사이트에 인증서 바인딩
인증서를 생성한 경우 ArcGIS Web Adaptor를 호스팅하는 웹 사이트에 바인딩해야 합니다. 바인딩은 웹 사이트에서 포트 443을 사용하도록 인증서를 구성하는 프로세스를 의미합니다. 인증서를 웹 사이트와 바인딩하는 지침은 웹 서버의 버전 및 플랫폼에 따라 다릅니다. 자세한 내용은 시스템 관리자에게 문의하거나 웹 서버 설명서를 참고하세요. 예를 들어 IIS에서 인증서를 바인딩하는 단계는 아래와 같습니다.
IIS에서 포트 443에 인증서 바인딩
IIS 관리자에서 HTTPS 포트 443에 인증서를 바인딩하려면 다음을 수행합니다.
- 트리 보기에서 사이트를 선택하고 작업 창에서 바인딩을 클릭합니다.
- 바인딩 목록에서 포트 443을 사용할 수 없는 경우 추가를 클릭합니다. 유형 드롭다운 목록에서 https를 선택합니다. 포트를 443으로 그대로 둡니다.
- 포트 443이 나열된 경우 목록에서 포트를 선택하고 편집을 클릭합니다.
- 인증서 드롭다운 목록에서 인증서 이름을 선택하고 확인을 클릭합니다.
사이트 테스트
인증서를 웹 사이트에 바인딩한 후에는 포털에서 사용하도록 Web Adaptor를 구성할 수 있습니다. https://webadaptorhost.domain.com/webadaptorname/webadaptor와 같은 HTTPS URL을 사용하여 ArcGIS Web Adaptor의 구성 페이지에 접근해야 합니다.
Web Adaptor를 구성한 후에는 포털 웹 사이트에 HTTPS 요청을 보내 HTTPS가 제대로 작동하는지 테스트해야 합니다(예: https://webadaptorhost.domain.com/webadaptorname/home). 자체 서명된 인증서로 테스트하는 경우 신뢰할 수 없는 연결에 대한 브라우저 경고가 해제됩니다. 여기에는 일반적으로 자체 서명된 인증서를 사용하는 사이트와 통신하는 것을 허용할 수 있도록 브라우저에 예외를 추가하는 작업이 포함됩니다.
포털 배포에서 SSL을 사용하는 방법은 보안 모범 사례를 참고하세요.