W celu zabezpieczenia komunikacji sieciowej między adapterem internetowym ArcGIS Web Adaptor i oprogramowaniem ArcGIS Enterprise należy użyć protokołu HTTPS.
Protokół HTTPS to standardowa technologia zabezpieczeń stosowana do nawiązywania szyfrowanego połączenia między serwerem internetowym a klientem internetowym. Protokół HTTPS ułatwia bezpieczną komunikację sieciową, identyfikując i uwierzytelniając serwer oraz zapewniając prywatność i integralność wszystkich przesyłanych danych. Ponieważ protokół HTTPS uniemożliwia nasłuchiwanie i modyfikowanie informacji przesyłanych w sieci, należy go używać z każdym mechanizmem logowania lub uwierzytelniania i w każdej sieci, w której komunikacja zawiera poufne lub zastrzeżone informacje.
Notatka:
W przypadku zdecydowanej większości wdrożeń odpowiednie jest użycie domyślnego portu 443 protokołu HTTPS. W niektórych rzadkich przypadkach instancja adaptera internetowego ArcGIS Web Adaptor nie może używać portu 443 na serwerze internetowym z przyczyn właściwych dla danej instytucji. Jeśli dotyczy to Twojej instytucji, zapoznaj się z sekcją Używanie portów innych niż domyślne dla adaptera internetowego ArcGIS Web Adaptor portalu, która zawiera szczegółowe instrukcje dotyczące konfigurowania rozwiązania zastępczego.
Konieczne jest uzyskanie certyfikatu serwera i powiązanie go z witryną internetową udostępniającą adapter internetowy ArcGIS Web Adaptor Każdy serwer internetowy ma własną procedurę wczytywania certyfikatu i powiązania go z daną witryną.
Należy się także upewnić, że serwer internetowy został skonfigurowany w taki sposób, aby ignorował certyfikaty klientów, w celu poprawnego uzyskiwania dostępu do bezpiecznych usług za pośrednictwem protokołu HTTPS.
Tworzenie lub uzyskiwanie certyfikatu serwera
Serwer internetowy, aby utworzyć połączenie HTTPS między adapterem internetowym ArcGIS Web Adaptor i instytucją, wymaga certyfikatu serwera. Certyfikat to cyfrowy plik zawierający informacje o tożsamości serwera internetowego. Zawiera on również metodę szyfrowania używaną w czasie nawiązywania zabezpieczonego połączenia między serwerem internetowym i portalem. Certyfikat musi być utworzony przez właściciela witryny internetowej i cyfrowo podpisany. Istnieją trzy typy certyfikatów: z podpisem CA, domeny lub z podpisem własnym. Opisano je poniżej.
Certyfikaty wystawione przez CA
Certyfikaty podpisane przez niezależny urząd certyfikacji (CA) dają aplikacjom klienckim pewność, że tożsamość witryny została zweryfikowana. Urząd certyfikacji to zwykle godny zaufania podmiot zewnętrzny, który może potwierdzić autentyczność witryny. Jeśli witryna jest godna zaufania, urząd certyfikacji dodaje własny cyfrowy podpis do certyfikatu z podpisem własnym danej witryny. Daje to klientom sieci pewność, że tożsamość danej witryny została zweryfikowana.
Certyfikatów z podpisem urzędu certyfikacji (CA) należy używać w przypadku systemów produkcyjnych, zwłaszcza wtedy, gdy dostęp do instytucji ArcGIS Enterprise mają mieć użytkownicy spoza danej instytucji.
W czasie używania certyfikatu wydanego przez dobrze znany urząd certyfikacji bezpieczna komunikacja między serwerem a klientem sieci następuje automatycznie bez potrzeby podejmowania jakichkolwiek specjalnych działań przez administratora portalu czy aplikacje klienckie. Ponieważ dana witryna internetowa została zweryfikowana przez urząd certyfikacji, nie występują żadne jej nieoczekiwane zachowania, a w przeglądarce nie są wyświetlane żadne komunikaty ostrzeżeń.
Certyfikaty domeny
Jeśli portal znajduje się za zaporą i nie można użyć certyfikatu podpisanego przez urząd certyfikacji, należy użyć certyfikatu domeny. Certyfikat domeny to wewnętrzny certyfikat podpisany przez organ certyfikacyjny instytucji. Certyfikaty domeny mogą być generowane na wewnętrzny użytek instytucji. Pozwala to obniżyć koszt ich wydawania oraz ułatwia ich wdrażanie.
Ponieważ strona została zweryfikowana z użyciem certyfikatu domeny, użytkownicy wewnątrz tej domeny nie będą mieli problemów z działaniem stron ani nie będą wyświetlane żadne komunikaty ostrzegawcze, związane zazwyczaj z certyfikatami z podpisem własnym. Jednak certyfikaty domeny nie są weryfikowane przez zewnętrzny urząd certyfikacji, przez co użytkownicy spoza danej domeny nie będą w stanie sprawdzić, czy certyfikat faktycznie został wystawiony przez instytucję, którą reprezentuje. W przeglądarkach użytkowników zewnętrznych wyświetlane będą ostrzeżenia informujące, że dana strona nie jest zaufana. Może to zasugerować im, że jest to strona ze szkodliwym oprogramowaniem, przez co nie zdecydują się jej otworzyć.
Tworzenie certyfikatu domeny i włączanie protokołu HTTPS
Aby pomyślnie wykonać czynności w kreatorze konfiguracji ArcGIS Enterprise, należy włączyć protokół HTTPS w serwerze internetowym na komputerze, na którym zainstalowano wdrożenie podstawowe.
Jeśli protokół HTTPS nie jest włączony, kreator konfiguracji nie ukończy działania i zostanie wyświetlony następujący komunikat o błędzie:
Nie można połączyć się z adresem URL https://mymachine.mydomain.com/server adaptera internetowego (web adaptor). Sprawdź, czy protokół HTTPS został włączony dla Twojego serwera internetowego. Aby uzyskać informacje dotyczące włączania protokołu HTTPS, przejdź do następującego tematu pomocy: Wprowadzenie do oprogramowania ArcGIS Enterprise > ArcGIS Enterprise Builder > Planowanie wdrożenia podstawowego.
Notatka:
W większości przypadków to administrator IT przekaże Tobie certyfikaty i powiąże je z portem HTTPS o numerze 443.
W 2017 r. przeglądarka Google Chrome zaczęła ufać tylko tym certyfikatom, które mają parametr SAN (Subject Alternative Name), czego nie można skonfigurować podczas tworzenia certyfikatu w aplikacji Menedżer usług IIS.
Jeśli używasz programu IIS i musisz utworzyć certyfikat domeny, zapoznaj się z sekcją Tworzenie certyfikatu domeny, która udostępnia skrypt do uruchomienia na Twoim komputerze umożliwiający utworzenie odpowiedniego certyfikatu i powiązanie go z portem HTTPS o numerze 443.
Certyfikaty z podpisem własnym
Certyfikat podpisany jedynie przez właściciela witryny jest nazywany certyfikatem z podpisem własnym. Certyfikaty z podpisem własnym są powszechnie stosowane w witrynach, które są dostępne wyłącznie dla użytkowników w wewnętrznej sieci instytucji (LAN). W przypadku komunikacji z witryną spoza sieci wewnętrznej, która korzysta z certyfikatu z podpisem własnym, niemożliwe jest sprawdzenie, czy witryna wystawiająca certyfikat rzeczywiście reprezentuje daną firmę. Istnieje ryzyko komunikacji ze złośliwym podmiotem, co stanowi zagrożenie dla danych.
Tworzenie certyfikatu z podpisem własnym nie powinno być brane pod uwagę w środowiskach produkcyjnych, gdyż może to prowadzić do nieoczekiwanych wyników i niewłaściwego działania portalu.
Certyfikat z podpisem własnym może przydać się do przeprowadzenia wstępnych testów po skonfigurowaniu portalu. Dzięki niemu można szybko sprawdzić, czy proces konfiguracji przebiegł pomyślnie. Jednak w przypadku stosowania certyfikatu z podpisem własnym podczas testów mogą wystąpić następujące problemy:
- Podczas uzyskiwania dostępu do portalu z przeglądarki internetowej lub komputerowej aplikacji klienckiej będą wyświetlane ostrzeżenia o niezaufanej witrynie.
W przypadku certyfikatu z podpisem własnym w przeglądarce wyświetlane jest ostrzeżenie i monit o potwierdzenie chęci przejścia do danej witryny. W wielu przeglądarkach, jeżeli używany jest certyfikat z podpisem własnym, jest wyświetlana ikona ostrzegawcza lub czerwony kolor paska adresu. W przypadku skonfigurowania portalu z certyfikatem z podpisem własnym należy oczekiwać tego typu ostrzeżeń.
- Nie można otworzyć sfederowanej usługi w przeglądarce map, dodać elementu usługi zabezpieczonej do portalu, zalogować się do aplikacji ArcGIS Server Manager na serwerze sfederowanym lub połączyć się z portalem z poziomu aplikacji ArcGIS for Office.
Aby pozwolić na zalogowanie z poziomu aplikacji ArcGIS for Office, zainstaluj certyfikat z podpisem własnym w magazynie certyfikatów Zaufane główne urzędy certyfikacji na komputerze z oprogramowaniem ArcGIS for Office.
- Podczas drukowania hostowanych usług i uzyskiwania dostępu do portalu z aplikacji klienckich może wystąpić nieoczekiwane zachowanie.
Uwaga:
Powyższa lista problemów występujących w przypadku używania certyfikatu z podpisem własnym nie jest wyczerpująca. Do pełnego przetestowania i wdrożenia portalu ArcGIS Enterprise zalecane jest użycie certyfikatu domeny lub certyfikatu podpisanego przez urząd certyfikacji.
Powiązanie certyfikatu z witryną internetową
Certyfikat należy powiązać z witryną internetową hostującą adapter internetowy ArcGIS Web Adaptor. Powiązanie jest procesem konfigurowania certyfikatu do używania portu 443 w witrynie internetowej.
Notatka:
Certyfikat można powiązać za pomocą skryptu znajdującego się w temacie Tworzenie certyfikatu domeny.
Instrukcja powiązania certyfikatu z witryną różni się w zależności od platformy i wersji serwera internetowego. Stosowne instrukcje można uzyskać od administratora systemu lub znaleźć w dokumentacji serwera internetowego. Na przykład czynności niezbędne do powiązania certyfikatu w usługach IIS można znaleźć poniżej.
- Wybierz swoją witrynę w widoku drzewa i kliknij Powiązania w panelu Działania.
- Jeśli port 443 nie jest dostępny na liście powiązań, kliknij polecenie Dodaj. Z listy rozwijanej Typ wybierz https. Pozostaw numer portu 443.
- Jeśli port 443 jest widoczny na liście, wybierz go i kliknij polecenie Edytuj.
- Z listy rozwijanej certyfikatów wybierz nazwę swojego certyfikatu i kliknij przycisk OK.
Testowanie witryny
Po uzyskaniu lub utworzeniu certyfikatu powiązanego z portem 443 skonfiguruj aplikację Web Adaptor do pracy z instytucją. Konieczne będzie przejście do strony konfiguracyjnej aplikacji ArcGIS Web Adaptor za pośrednictwem adresu URL HTTPS, np. https://webadaptorhost.domain.com/webadaptorname/webadaptor.
Po skonfigurowaniu aplikacji Web Adaptor należy sprawdzić, czy protokół HTTPS działa prawidłowo. W tym celu do instytucji należy wysłać żądanie HTTPS, np. https://webadaptorhost.domain.com/webadaptorname/home. W przypadku testowania z wykorzystaniem certyfikatu z podpisem własnym należy odrzucać ostrzeżenia przeglądarki o niezaufanych połączeniach. Zazwyczaj wymaga to dodania wyjątku do przeglądarki w celu umożliwienia jej komunikacji z witryną korzystającą z certyfikatu z podpisem własnym.