HTTPS는 웹 서버와 주고받는 통신을 암호화하는 수단입니다. HTTPS를 통해서도 클라이언트 응용프로그램에서 웹 서버의 ID를 확인할 수 있습니다. HTTPS를 사용하는 동안에는 HTTPS를 사용하는 각 웹 서버에서 클라이언트에 인증서를 보내야 합니다. 인증서에는 ID에 대한 설명(gis.mycity.gov)과 클라이언트가 암호화된 정보를 웹 서버에 보내는 데 사용할 수 있는 공개 키가 포함되어 있습니다.
Portal for ArcGIS는 암호화해야 하는 정보를 종종 전송합니다. 따라서 포털에 항상 HTTPS가 활성화되어 있습니다. 기업(내부) 또는 상용 인증 기관(CA)에서 서명한 인증서를 사용하는 것을 권장합니다. 포털 자체에는 자체 서명된 인증서가 포함되어 있습니다. 자체 서명된 인증서를 사용하는 경우 클라이언트는 서버의 ID를 확인할 수 없습니다. 자체 서명된 인증서를 CA 서명 인증서로 대체하면 배포 보안이 향상됩니다.
포털에서 CA 서명 인증서를 사용하는 방법에는 두 가지가 있습니다.
- 새 CA 서명 인증서 생성 - 인증 서명 요청(CSR)을 생성하고 CA에서 서명하도록 한 후 포털로 가져옵니다.
- 기존 CA 서명 인증서 사용 -포털 머신에 할당된 기존 CA 서명 인증서가 이미 있는 경우에는 포털로 가져옵니다.
비고:
이러한 워크플로는 7443 포트를 통한 Portal for ArcGIS와의 HTTPS 통신에만 적용됩니다. Web Adaptor의 CA 서명 인증서를 생성하거나 가져오려면 Web Adaptor가 설치된 웹 서버의 문서를 참고하세요.
이러한 프로세스에 대한 자세한 지침은 아래 섹션의 단계를 참고하세요.
새 CA 서명 인증서 생성
기업(내부) 또는 상용 CA가 서명한 새 인증서를 사용하여 HTTPS를 활성화할 수 있습니다. 단계는 다음과 같습니다.
새 인증서 생성
새 인증서를 생성하려면 다음 단계를 완료합니다.
- 포털 관리자 디렉터리에 기관 관리자로 로그인합니다. URL은 https://webadaptorhost.domain.com/webadaptorname/portaladmin 형식입니다.
- 보안 > SSL 인증서 > 생성을 클릭합니다.
비고:
고가용성 포털의 경우 머신 > [머신] > SSL 인증서 > 생성으로 이동한 다음 각 포털 머신에 대해 다음 단계를 반복해야 합니다. - 인증서 생성 페이지에서 다음 정보를 입력합니다.
- 별칭 - 인증서 이름을 식별하는 고유 이름입니다(예시: portalcert).
- 키 알고리즘 - RSA(기본값) 또는 DSA.
- 키 크기 - 인증서를 생성하는 데 사용되는 암호화 키를 생성할 때 사용되는 크기(비트)를 지정합니다. 키 크기가 클수록 암호화를 깨기 어렵습니다. 그러나 암호화된 데이터를 해독하는 시간도 크기에 비례해 증가합니다. RSA의 경우 권장 키 크기는 2,048 이상입니다. DSA의 경우 키 크기는 512 ~ 1,024가 될 수 있습니다.
- 서명 알고리즘 - 기본값을 사용합니다(SHA256withRSA). 기관에 특정 보안 제한이 있는 경우 다음 알고리즘 중 하나가 DSA에 사용될 수 있습니다. SHA384withRSA, SHA512withRSA, SHA1withRSA, SHA1withDSA.
- 일반 이름 - 이 필드는 선택 사항으로, 이전 웹 브라우저 및 소프트웨어와의 호환성을 지원하기 위해 사용됩니다. 포털 머신의 정규화된 도메인 이름을 일반 이름으로 사용하는 것을 권장합니다.
- 기관 단위 - 사이트 사용자에게 의미 있는 부서 이름입니다(예시: GIS Department).
- 기관 - 기관의 이름입니다(예시: Esri).
- 시/군/구 - 시/군/구 이름입니다(예시: Redlands).
- 광역시도 - 광역시도 이름입니다(예시: California).
- 국가 코드 - 기관이 소재한 국가의 두 자리 국가 코드입니다(예시: US).
- 유효 기간 - 인증서가 유효한 일수입니다(예시: 365).
- 주체 대체 이름 - 주체 대체 이름(SAN)은 접근 중인 웹 사이트에서 제공된 SSL 인증서가 해당 웹 사이트에 대해 발행된 인증서인지 확인하는 데 사용됩니다.
이 매개변수를 비워두면 로컬 머신의 정규화된 도메인 이름이 기본값으로 사용됩니다. SAN 필드에 여러 개의 값이 지원되지만 웹 사이트의 정규화된 도메인 이름이 포함되어야 합니다. SAN 매개변수 값에는 공백을 포함할 수 없습니다.
SAN을 사용함으로써 인증서를 통해 다른 URL로 동일한 웹 사이트에 접근할 수 있습니다. 예를 들어 URL https://www.esri.com, https://esri, https://10.60.1.16은 인증서가 다음 매개변수 값을 사용하여 생성되는 경우 동일한 사이트에 접근하는 데 사용될 수 있습니다.
CN=www.esri.com
SAN=DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- 생성을 클릭합니다. 인증서 링크가 인증서 페이지에 나타납니다.
인증서에 서명할 CA 요청
웹 브라우저가 인증서를 신뢰할 수 있으려면 내 기관, Verisign 혹은 Thawte와 같은 CA가 확인하고 연대 서명해야 합니다.
- 인증서 페이지에서 인증서 이름을 클릭합니다.
- CSR 생성을 클릭합니다. CSR 생성 페이지에서 CSR 콘텐츠를 복사하여 파일에 붙여 넣습니다. .csr 확장자로 파일을 저장합니다(예시: portalcert.csr).
- CA에 CSR을 제출합니다. DER(Distinguished Encoding Rules) 또는 Base64 인코딩된 인증서를 획득하는 것을 권장합니다. CA가 인증서를 위한 웹 서버 유형을 요청하는 경우, 기타\알 수 없음 또는 Java 응용프로그램 서버를 지정합니다. CA는 신원을 확인한 후 확장자가 .crt 또는 .cer인 파일을 보내드립니다.
- CA로부터 받은 서명된 인증서를 포털 머신의 위치에 저장합니다. 서명된 인증서 외에 CA는 루트 인증서도 발행합니다. CA 루트 인증서를 포털 머신에 저장합니다.
- 포털 관리자 디렉터리에 기관 관리자로 로그인합니다. URL은 https://webadaptorhost.domain.com/webadaptorname/portaladmin 형식입니다.
- 보안 > SSL 인증서 > 루트 또는 중간 인증서 가져오기를 클릭합니다.
비고:
고가용성 포털의 경우 머신 > [머신] > SSL 인증서 > 루트 또는 중간 인증서 가져오기로 이동한 다음 각 포털 머신에 대해 다음 단계를 반복해야 합니다. - CA가 제공한 루트 인증서의 위치를 찾고 가져오기를 클릭합니다. CA가 추가 중간 인증서를 발급한 경우 그것도 가져옵니다. 가져온 각 인증서에 대해 Portal for ArcGIS가 자동으로 다시 시작됩니다. 서명된 인증서는 가져오지 마세요.
- SSL 인증서 페이지로 돌아갑니다.
- 이전 섹션에서 생성된 인증서 이름을 클릭합니다(예시: portalcert).
- 서명된 인증서 가져오기를 클릭하고 CA로부터 받은 서명된 인증서의 위치를 찾습니다.
- 가져오기를 클릭합니다. 이전 섹션에서 생성된 인증서는 CA 서명 인증서로 대체됩니다.
CA 서명 인증서를 사용하도록 Portal for ArcGIS 구성
CA 서명 인증서를 사용하도록 Portal for ArcGIS를 구성하려면 다음 단계를 완료합니다.
- 포털 관리자 디렉터리에 기관 관리자로 로그인합니다. URL은 https://webadaptorhost.domain.com/webadaptorname/portaladmin 형식입니다.
- 보안 > SSL 인증서 > 업데이트를 클릭합니다.
비고:
고가용성 포털의 경우 머신 > [머신] > SSL 인증서 > 업데이트로 이동한 다음 각 포털 머신에 대해 다음 단계를 반복해야 합니다. - 웹 서버 SSL 인증서 필드에서 CA 서명 인증서의 별칭을 입력합니다. 지정하는 별칭은 이전 섹션의 CA 서명 인증서로 대체된 인증서의 별칭과 일치해야 합니다.
- 업데이트를 클릭합니다.
CA 서명 인증서가 이제 HTTPS에 사용됩니다.
HTTPS를 사용하여 포털에 접근할 수 있는지 확인
HTTPS를 사용하여 포털에 접근할 수 있는지 확인하려면 다음 URL을 테스트합니다. https://portalhost.domain.com:7443/arcgis/home.
기존 CA 서명 인증서 사용
기업(내부) 또는 상용 CA가 발급한 인증서가 이미 있는 경우 이 인증서를 사용하여 HTTPS를 활성화할 수 있습니다.
루트 CA 인증서 가져오기
루트 CA 인증서를 가져오려면 다음 단계를 완료합니다.
- 포털 관리자 디렉터리에 기관 관리자로 로그인합니다. URL은 https://webadaptorhost.domain.com/webadaptorname/portaladmin 형식입니다.
- 보안 > SSL 인증서 > 루트 또는 중간 인증서 가져오기를 클릭합니다.
비고:
고가용성 포털의 경우 머신 > [머신] > SSL 인증서 > 루트 또는 중간 인증서 가져오기로 이동한 다음 각 포털 머신에 대해 다음 단계를 반복해야 합니다. - CA가 제공한 루트 인증서의 위치를 찾고 가져오기를 클릭합니다. CA가 추가 중간 인증서를 발급한 경우 그것도 가져옵니다. CA 서명 인증서는 가져오지 마세요.
- Portal for ArcGIS 서비스를 다시 시작합니다.
기존 CA 서명 인증서 가져오기
주의:
포털에 이 인증서를 가져오려면 인증서와 관련 개인 키를 PKCS#12 형식으로 저장해야 하며, 이는 확장자가 .p12 또는 .pfx인 파일로 나타납니다.
- 보안 > SSL 인증서 > 기존 서버 인증서 가져오기를 클릭합니다.
비고:
고가용성 포털의 경우 머신 > [머신] > SSL 인증서 > 기존 서버 인증서 가져오기로 이동한 다음 각 포털 머신에 대해 다음 단계를 반복해야 합니다. - 기존 서버 인증서 가져오기 페이지에서 다음 정보를 지정합니다.
- 인증서 비밀번호 - 인증서를 포함하는 파일의 잠금을 해제하기 위해 비밀번호를 입력합니다.
- 별칭 - 인증서를 쉽게 식별하는 고유 이름입니다(예시: rootcert).
- 기존 CA 서명 인증서의 위치를 찾습니다. 가져오기를 클릭합니다.
CA 서명 인증서를 사용하도록 Portal for ArcGIS 구성
CA 서명 인증서를 사용하도록 Portal for ArcGIS를 구성하려면 다음 단계를 완료합니다.
- 보안 > SSL 인증서 > 업데이트를 클릭합니다.
비고:
고가용성 포털의 경우 머신 > [머신] > SSL 인증서 > 업데이트로 이동한 다음 각 포털 머신에 대해 다음 단계를 반복해야 합니다. - 웹 서버 SSL 인증서 필드에서 기존 CA 서명 인증서의 별칭을 입력합니다.
- 업데이트를 클릭합니다.
기존 CA 서명 인증서가 HTTPS에 사용됩니다.
HTTPS를 사용하여 포털에 접근할 수 있는지 확인
HTTPS를 사용하여 포털에 접근할 수 있는지 확인하려면 다음 URL을 테스트합니다. https://portalhost.domain.com:7443/arcgis/home.