Protokół HTTPS to standardowa technologia zabezpieczeń stosowana do nawiązywania szyfrowanego połączenia między serwerem internetowym a klientem internetowym. Protokół HTTPS ułatwia bezpieczną komunikację sieciową, identyfikując i uwierzytelniając serwer oraz zapewniając prywatność i integralność wszystkich przesyłanych danych. Ponieważ protokół HTTPS uniemożliwia nasłuchiwanie i modyfikowanie informacji przesyłanych w sieci, należy go używać z każdym mechanizmem logowania lub uwierzytelniania i w każdej sieci, w której komunikacja zawiera poufne lub zastrzeżone informacje.
W celu zaszyfrowania komunikacji między adapterem internetowym ArcGIS Web Adaptor i oprogramowaniem Portal for ArcGIS wymagane jest używanie protokołu HTTPS. Dzięki temu nie można odszyfrować nazw, haseł i innych wrażliwych informacji, kiedy są one przesyłane między adapterem internetowym ArcGIS Web Adaptor i portalem. W przypadku protokołu HTTPS łączenie ze stronami internetowymi i zasobami odbywa się za pośrednictwem protokołu HTTPS zamiast HTTP.
Notatka:
W przypadku zdecydowanej większości użytkowników odpowiednie jest użycie domyślnego portu 443 protokołu HTTPS. W niektórych rzadkich przypadkach instancja adaptera internetowego ArcGIS Web Adaptor nie może używać portu 443 na serwerze internetowym z przyczyn właściwych dla danej instytucji. Jeśli dotyczy to Twojej instytucji, zapoznaj się z sekcją Używanie portów innych niż domyślne dla adaptera internetowego ArcGIS Web Adaptor portalu, która zawiera szczegółowe instrukcje dotyczące konfigurowania rozwiązania zastępczego.
Należy uzyskać certyfikat serwera i powiązać go z witryną internetową udostępniającą adapter internetowy ArcGIS Web Adaptor. Każdy serwer internetowy ma własną procedurę wczytywania certyfikatu i powiązania go z daną witryną.
Należy się także upewnić, że serwer internetowy został skonfigurowany w taki sposób, aby ignorował certyfikaty klientów w celu poprawnego uzyskiwania dostępu do bezpiecznych usług za pośrednictwem protokołu HTTPS.
Tworzenie certyfikatu serwera
Serwer internetowy, aby utworzyć połączenie HTTPS między adapterem internetowym ArcGIS Web Adaptor i portalem, wymaga certyfikatu serwera. Certyfikat to cyfrowy plik zawierający informacje o tożsamości serwera internetowego. Zawiera on również metodę szyfrowania używaną w czasie nawiązywania zabezpieczonego połączenia między serwerem internetowym i portalem. Certyfikat musi być utworzony przez właściciela witryny internetowej i cyfrowo podpisany. Istnieją trzy typy certyfikatów: z podpisem CA, domeny lub z podpisem własnym. Opisano je poniżej.
Certyfikaty wystawione przez CA
Certyfikaty z podpisem urzędu certyfikacji (CA) powinny być używane w przypadku systemów produkcyjnych, zwłaszcza wtedy, gdy dostęp do wdrożonego portalu ArcGIS Enterprise mają mieć użytkownicy spoza danej instytucji. Na przykład, gdy portal nie jest chroniony przez zaporę systemową i można uzyskać do niego dostęp za pośrednictwem Internetu, użycie certyfikatu z podpisem CA da klientom spoza danej instytucji pewność, że tożsamość witryny została zweryfikowana.
Oprócz tego, że certyfikat został podpisany przez właściciela witryny internetowej, może on być również podpisany przez niezależny urząd certyfikacji. Urząd certyfikacji to zwykle godny zaufania podmiot zewnętrzny, który może potwierdzić autentyczność witryny. Jeśli witryna jest godna zaufania, urząd certyfikacji dodaje własny cyfrowy podpis do certyfikatu z podpisem własnym danej witryny. Daje to klientom sieci pewność, że tożsamość danej witryny została zweryfikowana.
W czasie używania certyfikatu wydanego przez dobrze znany urząd certyfikacji bezpieczna komunikacja między serwerem a klientem sieci następuje automatycznie bez potrzeby podejmowania przez użytkownika żadnych specjalnych działań. Ponieważ dana witryna internetowa została zweryfikowana przez urząd CA, nie ma żadnych problemów z jej działaniem, a w przeglądarce nie są wyświetlane żadne komunikaty ostrzeżeń.
Certyfikaty domeny
Jeśli portal nie jest chroniony przez zaporę systemową, a pozyskanie certyfikatu z podpisem CA nie jest możliwe, można użyć certyfikatu domeny. Certyfikat domeny to wewnętrzny certyfikat podpisany przez organ certyfikacyjny instytucji. Certyfikaty domeny mogą być szybko generowane na wewnętrzny użytek instytucji. Pozwala to obniżyć koszt ich wydawania oraz ułatwia ich wdrażanie.
Ponieważ strona została zweryfikowana z użyciem certyfikatu domeny, użytkownicy wewnątrz tej domeny nie będą mieli problemów z działaniem stron ani nie będą wyświetlane żadne komunikaty ostrzegawcze, związane zazwyczaj z certyfikatami z podpisem własnym. Jednak certyfikaty domeny nie są weryfikowane przez zewnętrzny urząd CA, przez co użytkownicy spoza danej domeny nie będą w stanie sprawdzić, czy certyfikat faktycznie został wystawiony przez instytucję, którą reprezentuje. W przeglądarkach użytkowników zewnętrznych wyświetlane będą ostrzeżenia informujące, że dana strona nie jest zaufana. Może to zasugerować im, że jest to strona ze szkodliwym oprogramowaniem, przez co nie zdecydują się jej otworzyć.
Tworzenie certyfikatu domeny i włączanie protokołu HTTPS
Aby pomyślnie wykonać czynności w kreatorze konfiguracji ArcGIS Enterprise, należy włączyć protokół HTTPS w programie IIS na komputerze, na którym zainstalowano wdrożenie podstawowe.
Jeśli protokół HTTPS nie jest włączony, kreator konfiguracji nie ukończy działania i zgłosi następujący komunikat o błędzie:
Nie można połączyć się z adresem URL https://mymachine.mydomain.com/server adaptera internetowego (web adaptor). Sprawdź, czy protokół HTTPS został włączony dla Twojego serwera internetowego. Aby uzyskać informacje dotyczące włączania protokołu HTTPS, przejdź do następującego tematu pomocy: Wprowadzenie do oprogramowania ArcGIS Enterprise > ArcGIS Enterprise Builder > Planowanie wdrożenia podstawowego.
Notatka:
W większości przypadków to administrator IT przekaże Tobie certyfikaty i powiąże je z portem HTTPS o numerze 443.
W 2017 r. przeglądarka Chrome zaczęła ufać tylko tym certyfikatom, które mają parametr SAN (Subject Alternative Name), czego nie można skonfigurować podczas tworzenia certyfikatu w aplikacji Menedżer usług IIS.
Jeśli używasz programu IIS i musisz utworzyć certyfikat domeny, zapoznaj się z sekcją Tworzenie certyfikatu domeny, która udostępnia skrypt do uruchomienia na Twoim komputerze umożliwiający utworzenie odpowiedniego certyfikatu i powiązanie go z portem HTTPS o numerze 443.
Certyfikaty z podpisem własnym
Tworzenie certyfikatu z podpisem własnym nie powinno być brane pod uwagę w środowiskach produkcyjnych, gdyż może to prowadzić do nieoczekiwanych wyników i niewłaściwego działania portalu.
Certyfikat podpisany jedynie przez właściciela witryny jest nazywany certyfikatem z podpisem własnym. Certyfikaty z podpisem własnym są powszechnie stosowane w witrynach, które są dostępne wyłącznie dla użytkowników w wewnętrznej sieci instytucji (LAN). W przypadku komunikacji z witryną spoza sieci wewnętrznej, która korzysta z certyfikatu z podpisem własnym, niemożliwe jest sprawdzenie, czy witryna wystawiająca certyfikat rzeczywiście reprezentuje daną firmę. Istnieje ryzyko komunikacji ze złośliwym podmiotem, co stanowi zagrożenie dla danych.
Certyfikat z podpisem własnym może przydać się do przeprowadzenia wstępnych testów po skonfigurowaniu portalu. Dzięki niemu można szybko sprawdzić, czy proces konfiguracji przebiegł pomyślnie. Jednak w przypadku stosowania certyfikatu z podpisem własnym podczas testów mogą wystąpić następujące problemy:
- W przeglądarce internetowej i aplikacji ArcGIS Desktop wyświetlane są ostrzeżenia o niezaufanej witrynie. W przypadku certyfikatu z podpisem własnym w przeglądarce wyświetlane jest ostrzeżenie i monit o potwierdzenie chęci przejścia do danej witryny. W wielu przeglądarkach, jeżeli używany jest certyfikat z podpisem własnym ,wyświetlana jest ikona ostrzegawcza lub czerwony kolor w pasku adresu.. W przypadku skonfigurowania portalu z certyfikatem z podpisem własnym należy oczekiwać tego typu ostrzeżeń.
- Niezdolność do otwarcia usługi sfederowanej w przeglądarce map Map Viewer, dodania elementu usługi zabezpieczonej do portalu, zalogowania się do ArcGIS Server Manager na serwerze zintegrowanym oraz połączenia się z portalem z poziomu aplikacji ArcGIS for Office.
- Podczas drukowania hostowanych usług i uzyskiwania dostępu do portalu z aplikacji klienckich mają miejsce nieoczekiwane zachowania.
- Nie będzie możliwe zalogowanie się do portalu z poziomu oprogramowania ArcGIS for Office. Problem ten można rozwiązać, instalując certyfikat z podpisem własnym w magazynie certyfikatów Zaufane główne urzędy certyfikacji na komputerze z oprogramowaniem ArcGIS for Office.
Uwaga:
Powyższa lista problemów występujących w przypadku używania certyfikatu z podpisem własnym nie jest wyczerpująca. Aby w pełni przetestować i wdrożyć swój portal, zaleca się używanie certyfikatu domeny lub certyfikatu podpisanego przez CA.
Powiązanie certyfikatu z witryną internetową
Po utworzeniu certyfikatu z podpisem własnym należy go powiązać z witryną internetową, w ramach której działa adapter internetowy ArcGIS Web Adaptor. Powiązanie jest procesem konfigurowania certyfikatu do używania portu 443 w witrynie internetowej.
Notatka:
Certyfikat można powiązać za pomocą skryptu znajdującego się w temacie Tworzenie certyfikatu domeny.
Instrukcja powiązania certyfikatu z witryną różni się w zależności od platformy i wersji serwera internetowego. Stosowne instrukcje można uzyskać od administratora systemu lub znaleźć w dokumentacji serwera internetowego. Na przykład czynności niezbędne do powiązania certyfikatu w usługach IIS można znaleźć poniżej.
- Wybierz swoją witrynę w widoku drzewa i kliknij opcję Powiązania w panelu Działania.
- Jeśli port 443 nie jest dostępny na liście powiązań, kliknij polecenie Dodaj. Z listy rozwijanej Typ wybierz https. Pozostaw numer portu 443.
- Jeśli port 443 jest widoczny na liście, wybierz go i kliknij polecenie Edytuj.
- Z listy rozwijanej certyfikatów wybierz nazwę swojego certyfikatu i kliknij przycisk OK.
Testowanie witryny
Po uzyskaniu lub utworzeniu certyfikatu powiązanego z portem 443 można skonfigurować aplikację Web Adaptor do pracy z portalem. Konieczne będzie przejście do strony konfiguracyjnej aplikacji ArcGIS Web Adaptor za pośrednictwem adresu URL HTTPS, np. https://webadaptorhost.domain.com/webadaptorname/webadaptor.
Po skonfigurowaniu aplikacji Web Adaptor należy sprawdzić, czy protokół HTTPS działa prawidłowo. W tym celu do witryny internetowej portalu należy wysłać żądanie HTTPS, np. https://webadaptorhost.domain.com/webadaptorname/home. W przypadku testowania z wykorzystaniem certyfikatu z podpisem własnym należy odrzucać ostrzeżenia przeglądarki o niezaufanych połączeniach. Zazwyczaj wymaga to dodania wyjątku do przeglądarki w celu umożliwienia jej komunikacji z witryną korzystającą z certyfikatu z podpisem własnym.
Więcej informacji na temat stosowania protokołu SSL w portalu można znaleźć w temacie Najważniejsze wskazówki w zakresie bezpieczeństwa.