ArcGIS Web Adaptor 및 ArcGIS Enterprise 기관 간의 네트워크 통신 보안을 유지하려면 HTTPS 프로토콜을 사용하세요.
HTTPS 프로토콜은 웹 서버와 웹 클라이언트 간에 암호화된 링크를 설정하는 데 사용되는 표준 보안 기술입니다. HTTPS는 서버를 식별하고 인증할 뿐 아니라 전송되는 모든 데이터의 개인 정보 보호 및 무결성을 보장하여 보안 네트워크 통신을 지원합니다. HTTPS는 네트워크를 통해 전송되는 정보의 도청 또는 변조를 방지하므로 통신에 기밀 정보 또는 재산적 가치가 있는 정보가 포함된 모든 네트워크에서 로그인 또는 인증 메커니즘과 함께 사용되어야 합니다.
비고:
대부분의 배포에는 기본 HTTPS 443 포트를 사용하는 것이 적합합니다. 간혹 ArcGIS Web Adaptor 인스턴스가 기관의 특정 원인으로 인해 해당 웹 서버에서 443 포트를 사용할 수 없는 경우가 있습니다. 이 문제가 내 기관에 해당하는 경우 포털의 ArcGIS Web Adaptor에 대한 비기본 포트 사용을 참고하세요. 여기에는 대안을 구성하기 위한 추가 단계가 설명되어 있습니다.
웹 서버에서 HTTPS를 사용하려면 공개 및 비공개 키가 포함된 서버 인증서가 필요합니다. 웹 서버마다 HTTPS 수신기에서 인증서를 가져오거나 참조하는 고유한 방식이 있습니다.
또한 PKI 기반 클라이언트 인증서 인증을 통한 웹 계층 인증이 구성되지 않은 경우 HTTPS를 통해 보안 서비스에 접근하려면 웹 서버가 클라이언트 인증서를 무시하도록 설정되어 있어야 합니다.
서버 인증서 생성 또는 획득
ArcGIS Web Adaptor 및 기관 간에 HTTPS 연결을 생성하려면 웹 서버에 서버 인증서가 필요합니다. 인증서는 웹 서버 ID에 대한 정보가 포함된 디지털 파일입니다. 여기에는 웹 서버와 기관 간의 보안 채널을 설정할 때 사용되는 암호화 기술도 포함되어 있습니다. 인증서는 웹사이트 소유자가 생성해야 하며 디지털로 서명되어야 합니다. 인증서에는 아래 설명된 CA 서명, 도메인 및 자체 서명의 세 가지 유형이 있습니다.
CA 서명 인증서
독립적인 인증 기관(CA)에서 서명한 인증서를 통해 클라이언트는 웹사이트의 ID가 검증되었음을 확인할 수 있습니다. 인증 기관은 일반적으로 웹사이트의 신뢰성을 보증할 수 있는 신뢰할 수 있는 제3자입니다. 웹사이트를 신뢰할 수 있는 경우 인증 기관은 웹사이트의 자체 서명된 인증서에 고유한 디지털 서명을 추가합니다. 이는 웹사이트의 ID가 확인되었음을 웹 클라이언트에 보증합니다.
CA 서명 인증서는 프로덕션 시스템에 사용해야 하며, 특히 기관의 외부 사용자가 ArcGIS Enterprise 기관에 접근할 경우에 사용합니다.
잘 알려진 인증 기관에서 발행한 인증서를 사용하는 경우 접근하는 기관 관리자나 클라이언트가 특별한 작업을 수행하지 않아도 서버와 웹 클라이언트 간의 보안 통신이 자동으로 발생합니다. 인증 기관에서 웹사이트를 확인했으므로 웹브라우저에서 예기치 않은 동작 또는 경고 메시지가 나타나지 않습니다.
도메인 인증서
기관에 방화벽이 설정되어 있으며 CA 서명 인증서를 사용할 수 없는 경우 도메인 인증서를 사용하세요. 도메인 인증서는 기관의 인증 기관이 서명한 내부 인증서입니다. 도메인 인증서를 사용하면 신뢰할 수 있는 내부용으로 기관 내에서 인증서를 생성할 수 있으므로 인증서 발급 비용이 절감되고 인증서 배포가 간편해집니다.
웹사이트가 도메인 인증서로 확인되었으므로 도메인 내의 사용자에게 일반적으로 자체 서명 인증서와 관련된 예기치 않은 동작 또는 경고 메시지가 나타나지 않습니다. 그러나 도메인 인증서는 외부 인증 기관에서 검증할 수 없으므로 도메인 외부에서 사이트를 방문하는 사용자는 인증서가 해당 사이트를 대변하는지 확인할 수 없습니다. 외부 사용자에게는 신뢰할 수 없는 사이트에 대한 브라우저 경고가 표시되며 이로 인해 해당 사용자는 악성 사이트를 방문한 것으로 생각하고 사이트의 방문을 중단할 수 있습니다.
도메인 인증서 생성 및 HTTPS 활성화
ArcGIS Enterprise 구성 마법사를 완료하려면 기본 배포가 설치되는 머신의 웹 서버에 HTTPS가 활성화되어 있어야 합니다.
HTTPS가 활성화되어 있지 않으면 구성 마법사를 완료할 수 없으며 다음 오류 메시지를 받게 됩니다.
Web Adaptor URL https://mymachine.mydomain.com/server에 접근할 수 없습니다. 웹 서버에 HTTPS가 활성화되어 있는지 확인하세요. HTTPS를 활성화는 방법에 대한 지침은 도움말 항목: ArcGIS Enterprise > ArcGIS Enterprise 빌더 > 기본 배포 계획 소개를 참조하세요.
비고:
대부분의 경우 IT 관리자는 인증서를 제공하고 이를 HTTPS 포트 443에 바인딩합니다.
2017년에 Google Chrome은 주체 대체 이름(SAN) 매개변수가 포함된 인증서만 신뢰하도록 하였으며, 이 매개변수는 IIS 관리자 응용프로그램에서 인증서를 생성할 경우에는 구성할 수 없습니다.
IIS를 사용하는 경우 도메인 인증서를 생성하려면 도메인 인증서 생성을 참고하세요. 이 항목에는 머신에서 적절한 인증서를 생성하여 HTTPS 포트 443에 바인딩하는 스크립트가 포함되어 있습니다.
자체 서명된 인증서
웹사이트 소유자만 서명한 인증서를 자체 서명된 인증서라고 합니다. 자체 서명된 인증서는 주로 기관의 내부(LAN) 네트워크 사용자만 사용할 수 있는 웹사이트에서 사용됩니다. 자체 서명된 인증서를 사용하는 내부 네트워크 외부의 웹사이트와 통신하는 경우 인증서를 발급하는 사이트가 허위 사이트가 아닌지 확인할 방법이 없습니다. 악의적인 사이트와 통신하여 정보가 유출되는 위험에 처할 수 있습니다.
프로덕션 환경에서는 자체 서명된 인증서를 생성하는 것을 유효한 옵션으로 간주해서는 안 됩니다. 기관의 모든 사용자에게 예기치 않은 결과가 발생하고 환경의 성능이 저하됩니다.
기관을 설정할 때 자체 서명된 인증서를 사용하여 일부 초기 테스트를 수행하면 구성에 성공했는지 빠르게 확인할 수 있습니다. 그러나 자체 서명된 인증서를 사용할 경우 테스트 시 다음과 같은 상황이 발생하게 됩니다.
- 웹브라우저나 데스크톱 클라이언트에서 기관에 접근하면 신뢰할 수 없는 사이트에 대한 경고가 나타납니다.
웹 브라우저에서 자체 서명된 인증서가 발견된 경우 일반적으로 경고가 나타나며 사이트로 이동할지 확인하는 메시지가 나타납니다. 자체 서명된 인증서를 사용하는 한 많은 브라우저에서 경고 아이콘이 나타나거나 주소 표시줄에 빨간색이 나타납니다. 자체 서명된 인증서로 기관을 구성한 경우 이러한 유형의 경고가 나타납니다.
- Map Viewer에서 페더레이션된 서비스를 열거나, 기관에 보안 서비스 항목을 추가하거나, 페더레이션된 서버에서 ArcGIS Server Manager에 로그인하거나 ArcGIS for Office에서 기관에 연결할 수 없습니다.
ArcGIS for Office에서 로그인하려면 ArcGIS for Office를 실행하는 머신의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 자체 서명된 인증서를 설치하세요.
- 클라이언트 응용프로그램에서 호스팅 서비스를 인쇄하고 기관에 접근할 때 예기치 않은 동작이 발생할 수 있습니다.
주의:
자체 서명된 인증서를 사용할 때 발생하는 문제는 위 목록에 국한되지 않습니다. 도메인 인증서 또는 CA 서명 인증서를 사용하여 ArcGIS Enterprise 기관을 완전히 테스트하고 배포하는 것을 권장합니다.
HTTPS 수신기 생성
HTTPS 수신기 생성 시, 웹 서버를 실행하는 사용자에게는 특정한 포트의 TLS 통신에 사용되는 서버 인증서 접근 권한이 필요합니다. HTTP 수신기가 정상 작동하지만 HTTPS를 사용할 수 없는 경우 웹 서버 로그에는 수신기가 포트에 바인딩되지 못한 이유가 표시됩니다.
사이트 테스트
443 포트에 바인딩할 인증서를 가져오거나 생성한 후에는 기관에서 사용하도록 웹 어댑터를 구성하세요. https://webadaptorhost.domain.com/webadaptorname/webadaptor과(와) 같은 HTTPS URL을 사용하여 ArcGIS Web Adaptor 구성 페이지에 접근해야 합니다.
웹 어댑터를 구성한 후에는 기관에 HTTPS 요청을 보내 HTTPS가 제대로 작동하는지 테스트하세요(예시: https://webadaptorhost.domain.com/webadaptorname/home). 자체 서명된 인증서로 테스트하는 경우 신뢰할 수 없는 연결에 대한 브라우저 경고가 해제됩니다. 여기에는 일반적으로 자체 서명된 인증서를 사용하는 사이트와 통신하는 것을 허용할 수 있도록 브라우저에 예외를 추가하는 작업이 포함됩니다.