Protokół HTTPS jest metodą szyfrowania komunikacji przychodzącej i wychodzącej na serwerze WWW. Ponadto protokół HTTPS umożliwia aplikacji klienckiej potwierdzenie tożsamości serwera WWW. Jeśli używany jest protokół HTTPS, każdy serwer WWW, dla którego włączono szyfrowanie HTTPS, musi przesyłać certyfikat do klientów. Certyfikat zawiera poświadczenie tożsamości (gis.mycity.gov) oraz klucz publiczny, który może być używany przez aplikację kliencką do przesyłania zaszyfrowanych informacji do serwera internetowego.
Oprogramowanie Portal for ArcGIS często przesyła informacje, które muszą być szyfrowane. Dlatego protokół HTTPS jest zawsze włączony w portalu. Zdecydowanie zalecane jest używanie certyfikatu podpisanego przez korporacyjny (wewnętrzny) lub komercyjny urząd certyfikacji (CA). Sam portal domyślnie korzysta z certyfikatu z podpisem własnym. Certyfikat z podpisem własnym nie pozwala aplikacji klienckiej na weryfikację tożsamości serwera. Zastąpienie certyfikatu z podpisem własnym certyfikatem z podpisem urzędu certyfikacji znacznie poprawia bezpieczeństwo wdrożenia.
Istnieją dwa sposoby używania w portalu certyfikatu podpisanego przez urząd certyfikacji:
- Generowanie nowego certyfikatu podpisanego przez urząd certyfikacji — wygeneruj żądanie podpisania certyfikatu (CSR), podpisz certyfikat w urzędzie certyfikacji, a następnie zaimportuj certyfikat do portalu.
- Korzystanie z istniejącego certyfikatu podpisanego przez urząd certyfikacji — jeśli do komputera portalu został już przypisany istniejący certyfikat podpisany przez urząd certyfikacji, zaimportuj go do portalu.
Notatka:
Te procedury wykonywania zadań dotyczą tylko komunikacji HTTPS z oprogramowaniem Portal for ArcGIS na porcie 7443. Aby wygenerować lub zaimportować certyfikat podpisany przez urząd certyfikacji dla aplikacji Web Adaptor, zapoznaj się z dokumentacją serwera internetowego, na którym jest zainstalowana aplikacja Web Adaptor.
Aby uzyskać instrukcje dotyczące tych procesów, zapoznaj się z etapami opisanymi w poniższych sekcjach.
Generowanie nowego certyfikatu podpisanego przez urząd certyfikacji
Protokół HTTPS można włączyć przy użyciu nowego certyfikatu podpisanego przez korporacyjny (wewnętrzny) lub komercyjny urząd certyfikacji. W tym celu należy wykonać następujące czynności:
Generowanie nowego certyfikatu
- Zaloguj się do aplikacji ArcGIS Portal Directory jako administrator instytucji. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Kliknij przycisk Security (Zabezpieczenia) > SSLCertificates (Certyfikaty SSL) > Generate (Generuj).
Notatka:
Jeśli portal jest skonfigurowany z wysoką dostępnością, należy zamiast tego przejść do opcji Machines (Komputery) > [komputer] > SSLCertificates (Certyfikaty SSL) > Generate (Generuj) i powtórzyć poniższe czynności dla każdego komputera portalu. - Na stronie Generate Certificate (Generowanie certyfikatu) wprowadź następujące informacje:
- Alias — unikalna nazwa identyfikująca nazwę certyfikatu (na przykład portalcert).
- Algorytm klucza — RSA (wartość domyślna) lub DSA.
- Wielkość klucza — określa wielkość (w bitach) używaną podczas generowania kluczy kryptograficznych stosowanych do tworzenia certyfikatu. Im klucz jest większy, tym trudniej złamać szyfr, jednak większy klucz wydłuża czas deszyfrowania zaszyfrowanych danych. W przypadku algorytmu RSA zalecany jest klucz o wielkości 2 048 lub większy. W przypadku algorytmu DSA wielkość klucza może wynosić od 512 do 1 024.
- Algorytm podpisu — użyj wartości domyślnej (SHA256withRSA). Jeśli w Twojej instytucji występują specyficzne ograniczenia bezpieczeństwa, wówczas w przypadku opcji DSA można użyć jednego z następujących algorytmów: SHA384withRSA, SHA512withRSA, SHA1withRSA,SHA1withDSA.
- Nazwa zwykła — to pole jest opcjonalne i jest używane w celu zachowania kompatybilności wstecznej ze starszymi przeglądarkami i oprogramowaniem. Zalecane jest użycie pełnej nazwy domeny komputera portalu jako nazwy zwykłej.
- Jednostka organizacyjna — nazwa wydziału, która będzie zrozumiała i rozpoznawalna dla użytkownika witryny (na przykład GIS Department).
- Instytucja — nazwa instytucji (na przykład Esri).
- Miasto lub lokalizacja — nazwa miasta lub lokalizacji (na przykład Redlands).
- Stan lub województwo — nazwa stanu lub województwa (na przykład California).
- Kod kraju — wprowadź dwuliterowy kod kraju, w którym znajduje się Twoja instytucja (na przykład US).
- Ważność — liczba dni ważności certyfikatu (na przykład 365).
- Alternatywna nazwa podmiotu — alternatywna nazwa podmiotu (SAN) jest używana do sprawdzania, czy certyfikat SSL prezentowany przez witrynę, do której jest uzyskiwany dostęp, został wystawiony dla tej witryny.
Jeśli wartość tego parametru nie zostanie podana, jako wartość domyślna zostanie użyta pełna nazwa domeny komputera lokalnego. Pole SAN obsługuje wiele wartości, jednak musi zawierać pełną nazwę domeny witryny. Wartość parametru SAN nie może zawierać spacji.
Przy użyciu wartości SAN certyfikat zezwala na używanie różnych adresów URL do uzyskiwania dostępu do tej samej witryny. Na przykład adresów URL https://www.esri.com, https://esri i https://10.60.1.16 można używać do uzyskiwania dostępu do tej samej witryny, jeśli certyfikat został utworzony przy użyciu następujących wartości parametru:
CN=www.esri.com
SAN=DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- Kliknij przycisk Generate (Generuj). Na stronie certyfikatów zostanie wyświetlone łącze do Twojego certyfikatu.
Wysyłanie do urzędu certyfikacji wniosku o podpisanie certyfikatu
Aby przeglądarki internetowe ufały Twojemu certyfikatowi, musi on zostać zweryfikowany i kontrasygnowany przez urząd certyfikacji, taki jak Twoja instytucja, Verisign lub Thawte.
- Na stronie certyfikatów kliknij nazwę swojego certyfikatu.
- Kliknij przycisk GenerateCSR (Generuj żądanie podpisania certyfikatu). Na stronie Generate CSR (Generowanie żądania podpisania certyfikatu) skopiuj zawartość tego żądania CSR i wklej ją do pliku. Zapisz plik z rozszerzeniem .csr (na przykład, portalcert.csr).
- Wyślij żądanie CSR do urzędu certyfikacji. Zalecane jest pobranie certyfikatu zakodowanego algorytmem Distinguished Encoding Rules (DER) lub Base64. Jeśli urząd certyfikacji zażąda informacji o typie serwera internetowego, dla którego jest przeznaczony certyfikat, podaj wartość Other\Unknown (Inny\Nieznany) lub Java Application Server. Po zweryfikowaniu Twojej tożsamości urząd certyfikacji prześle plik z rozszerzeniem .crt lub .cer.
- Zapisz podpisany certyfikat odebrany z urzędu certyfikacji w lokalizacji na komputerze portalu. Oprócz podpisanego certyfikatu, urząd certyfikacji wystawi także certyfikat główny. Zapisz certyfikat główny urzędu certyfikacji na komputerze portalu.
- Zaloguj się do aplikacji ArcGIS Portal Directory jako administrator instytucji. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Kliknij opcję Security (Zabezpieczenia) > SSLCertificates (Certyfikaty SSL) > Import Root or Intermediate (Importuj certyfikat główny lub pośredni).
Notatka:
Jeśli portal jest skonfigurowany z wysoką dostępnością, należy zamiast tego przejść do opcji Machines (Komputery) > [komputer] > SSLCertificates (Certyfikaty SSL) > Import Root or Intermediate (Importuj certyfikat główny lub pośredni) i powtórzyć poniższe czynności dla każdego komputera portalu. - Przejdź do lokalizacji certyfikatu głównego udostępnianego przez urząd certyfikacji. Kliknij przycisk Import (Importuj). Jeśli urząd certyfikacji wystawił jakiekolwiek dodatkowe certyfikaty pośrednie, także je zaimportuj. Oprogramowanie Portal for ArcGIS zostanie automatycznie ponownie uruchomione dla każdego zaimportowanego certyfikatu. Nie importuj podpisanego certyfikatu.
- Wróć na stronę SSLCertificates (Certyfikaty SSL).
- Kliknij nazwę certyfikatu wygenerowanego w poprzedniej sekcji (na przykład portalcert).
- Kliknij przycisk Import Signed Certificate (Importuj podpisany certyfikat) i przejdź do lokalizacji podpisanego certyfikatu otrzymanego z urzędu certyfikacji.
- Kliknij przycisk Import (Importuj). Certyfikat utworzony w poprzedniej sekcji jest zastępowany certyfikatem podpisanym przez urząd certyfikacji.
Konfigurowanie oprogramowania Portal for ArcGIS do korzystania z certyfikatu podpisanego przez urząd certyfikacji
- Zaloguj się do aplikacji ArcGIS Portal Directory jako administrator instytucji. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Kliknij opcję Security (Zabezpieczenia) > SSLCertificates (Certyfikaty SSL) > Update (Aktualizuj).
Notatka:
Jeśli portal jest skonfigurowany z wysoką dostępnością, należy zamiast tego przejść do opcji Machines (Komputery) > [komputer] > SSLCertificates (Certyfikaty SSL) > Update (Aktualizuj) i powtórzyć poniższe czynności dla każdego komputera portalu. - W polu Web server SSL Certificate (Certyfikat SSL serwera internetowego) wprowadź alias certyfikatu podpisanego przez urząd certyfikacji. Podany alias powinien być zgodny z aliasem certyfikatu, który został zastąpiony certyfikatem podpisanym przez urząd certyfikacji w poprzedniej sekcji.
- Kliknij przycisk Update (Aktualizuj).
Certyfikat podpisany przez urząd certyfikacji będzie teraz używany do obsługi protokołu HTTPS.
Sprawdzanie, czy można uzyskać dostęp do portalu przy użyciu protokołu HTTPS
Przetestuj następujący adres URL, aby sprawdzić, czy można uzyskać dostęp do portalu przy użyciu protokołu HTTPS: https://portalhost.domain.com:7443/arcgis/home.
Korzystanie z istniejącego certyfikatu podpisanego przez urząd certyfikacji
Jeśli masz już certyfikat wystawiony przez korporacyjny (wewnętrzny) lub komercyjny urząd certyfikacji, możesz go użyć do włączenia protokołu HTTPS.
- Importowanie certyfikatu głównego urzędu certyfikacji
- Importowanie istniejącego certyfikatu podpisanego przez urząd certyfikacji
- Konfigurowanie oprogramowania Portal for ArcGIS do korzystania z certyfikatu podpisanego przez urząd certyfikacji
- Sprawdzanie, czy można uzyskać dostęp do portalu przy użyciu protokołu HTTPS
Importowanie certyfikatu głównego urzędu certyfikacji
- Zaloguj się do aplikacji ArcGIS Portal Directory jako administrator instytucji. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Kliknij opcję Security (Zabezpieczenia) > SSLCertificates (Certyfikaty SSL) > Import Root or Intermediate (Importuj certyfikat główny lub pośredni).
Notatka:
Jeśli portal jest skonfigurowany z wysoką dostępnością, należy zamiast tego przejść do opcji Machines (Komputery) > [komputer] > SSLCertificates (Certyfikaty SSL) > Import Root or Intermediate (Importuj certyfikat główny lub pośredni) i powtórzyć poniższe czynności dla każdego komputera portalu. - Przejdź do lokalizacji certyfikatu głównego udostępnianego przez urząd certyfikacji. Kliknij przycisk Import (Importuj). Jeśli urząd certyfikacji wystawił jakiekolwiek dodatkowe certyfikaty pośrednie, także je zaimportuj. Nie importuj certyfikatu podpisanego przez urząd certyfikacji.
- Uruchom ponownie usługę Portal for ArcGIS.
Importowanie istniejącego certyfikatu podpisanego przez urząd certyfikacji
Uwaga:
Aby zaimportować certyfikat do portalu, certyfikat i powiązany z nim klucz prywatny muszą być przechowywane w formacie PKCS#12, który jest reprezentowany przez plik z rozszerzeniem .p12 lub .pfx.
- Kliknij opcję Security (Zabezpieczenia) > SSLCertificates (Certyfikaty SSL) > Import Existing Server Certificate (Importuj istniejący certyfikat serwera).
Notatka:
Jeśli portal jest skonfigurowany z wysoką dostępnością, należy zamiast tego przejść do opcji Machines (Komputery) > [komputer] > SSLCertificates (Certyfikaty SSL) > Import Existing Server Certificate (Importuj istniejący certyfikat serwera) i powtórzyć poniższe czynności dla każdego komputera portalu. - Na stronie Import Existing Server Certificate (Importowanie istniejącego certyfikatu serwera) podaj następujące informacje:
- Hasło certyfikatu — wprowadź hasło, aby odblokować plik zawierający certyfikat.
- Alias — wprowadź unikalną nazwę, która łatwo identyfikuje certyfikat (na przykład rootcert).
- Przejdź do lokalizacji istniejącego certyfikatu podpisanego przez urząd certyfikacji. Kliknij przycisk Import (Importuj).
Konfigurowanie oprogramowania Portal for ArcGIS do korzystania z certyfikatu podpisanego przez urząd certyfikacji
- Kliknij opcję Security (Zabezpieczenia) > SSLCertificates (Certyfikaty SSL) > Update (Aktualizuj).
Notatka:
Jeśli portal jest skonfigurowany z wysoką dostępnością, należy zamiast tego przejść do opcji Machines (Komputery) > [komputer] > SSLCertificates (Certyfikaty SSL) > Update (Aktualizuj) i powtórzyć poniższe czynności dla każdego komputera portalu. - W polu Web server SSL Certificate (Certyfikat SSL serwera internetowego) wprowadź alias istniejącego certyfikatu podpisanego przez urząd certyfikacji.
- Kliknij przycisk Update (Aktualizuj).
Istniejący certyfikat podpisany przez urząd certyfikacji będzie teraz używany do obsługi protokołu HTTPS.
Sprawdzanie, czy można uzyskać dostęp do portalu przy użyciu protokołu HTTPS
Przetestuj następujący adres URL, aby sprawdzić, czy można uzyskać dostęp do portalu przy użyciu protokołu HTTPS: https://portalhost.domain.com:7443/arcgis/home.