Skip To Content

Włączanie protokołu HTTPS na serwerze internetowym

W celu zabezpieczenia komunikacji sieciowej między adapterem internetowym ArcGIS Web Adaptor i oprogramowaniem ArcGIS Enterprise należy użyć protokołu HTTPS.

Protokół HTTPS to standardowa technologia zabezpieczeń stosowana do nawiązywania szyfrowanego połączenia między serwerem internetowym a klientem internetowym. Protokół HTTPS ułatwia bezpieczną komunikację sieciową, identyfikując i uwierzytelniając serwer oraz zapewniając prywatność i integralność wszystkich przesyłanych danych. Ponieważ protokół HTTPS uniemożliwia nasłuchiwanie i modyfikowanie informacji przesyłanych w sieci, należy go używać z każdym mechanizmem logowania lub uwierzytelniania i w każdej sieci, w której komunikacja zawiera poufne lub zastrzeżone informacje.

Notatka:

W przypadku zdecydowanej większości wdrożeń odpowiednie jest użycie domyślnego portu 443 protokołu HTTPS. W rzadkich przypadkach instancja adaptera internetowego ArcGIS Web Adaptor nie może używać portu 443 na serwerze internetowym z przyczyn właściwych dla danej instytucji. Jeśli dotyczy to Twojej instytucji, zapoznaj się z sekcją Używanie portów innych niż domyślne dla adaptera internetowego ArcGIS Web Adaptor portalu, która zawiera szczegółowe instrukcje dotyczące konfigurowania rozwiązania zastępczego.

Włączenie protokołu HTTPS na serwerze internetowym wymaga certyfikatu serwera zawierającego klucz publiczny i prywatny. Każdy serwer internetowy ma własną metodę importowania lub odwoływania się do certyfikatu w programie nasłuchującym HTTPS.

Należy się także upewnić, że serwer internetowy został skonfigurowany w taki sposób, aby ignorował certyfikaty klientów, w celu uzyskiwania dostępu do bezpiecznych usług za pośrednictwem protokołu HTTPS, chyba że jest skonfigurowane uwierzytelnianie w warstwie internetowej za pomocą uwierzytelniania opartego na certyfikacie aplikacji klienckiej PKI.

Tworzenie lub uzyskiwanie certyfikatu serwera

Serwer internetowy, aby utworzyć połączenie HTTPS między adapterem internetowym ArcGIS Web Adaptor i instytucją, wymaga certyfikatu serwera. Certyfikat to cyfrowy plik zawierający informacje o tożsamości serwera internetowego. Zawiera on również metodę szyfrowania używaną w czasie nawiązywania zabezpieczonego połączenia między serwerem internetowym i instytucją. Certyfikat musi być utworzony przez właściciela witryny internetowej i cyfrowo podpisany. Istnieją trzy typy certyfikatów: z podpisem CA, domeny lub z podpisem własnym. Opisano je poniżej.

Certyfikaty wystawione przez CA

Certyfikaty podpisane przez niezależny urząd certyfikacji (CA) dają aplikacjom klienckim pewność, że tożsamość witryny została zweryfikowana. Urząd certyfikacji to zwykle godny zaufania podmiot zewnętrzny, który może potwierdzić autentyczność witryny. Jeśli witryna jest godna zaufania, urząd certyfikacji dodaje własny cyfrowy podpis do certyfikatu z podpisem własnym danej witryny. Daje to klientom sieci pewność, że tożsamość danej witryny została zweryfikowana.

Certyfikatów z podpisem urzędu certyfikacji (CA) należy używać w przypadku systemów produkcyjnych, zwłaszcza wtedy, gdy dostęp do instytucji ArcGIS Enterprise mają mieć użytkownicy spoza danej instytucji.

W czasie używania certyfikatu wydanego przez dobrze znany urząd certyfikacji bezpieczna komunikacja między serwerem, a klientem sieci następuje automatycznie bez potrzeby podejmowania jakichkolwiek specjalnych działań przez administratora instytucji czy aplikacje klienckie. Ponieważ dana witryna internetowa została zweryfikowana przez urząd certyfikacji, nie występują żadne jej nieoczekiwane zachowania, a w przeglądarce nie są wyświetlane żadne komunikaty ostrzeżeń.

Certyfikaty domeny

Jeśli instytucja znajduje się za zaporą i nie można użyć certyfikatu podpisanego przez urząd certyfikacji, należy użyć certyfikatu domeny. Certyfikat domeny to wewnętrzny certyfikat podpisany przez organ certyfikacyjny instytucji. Certyfikaty domeny mogą być generowane na wewnętrzny użytek instytucji. Pozwala to obniżyć koszt ich wydawania oraz ułatwia ich wdrażanie.

Ponieważ strona została zweryfikowana z użyciem certyfikatu domeny, użytkownicy wewnątrz tej domeny nie będą mieli problemów z działaniem stron ani nie będą wyświetlane żadne komunikaty ostrzegawcze, związane zazwyczaj z certyfikatami z podpisem własnym. Jednak certyfikaty domeny nie są weryfikowane przez zewnętrzny urząd certyfikacji, przez co użytkownicy spoza danej domeny nie będą w stanie sprawdzić, czy certyfikat faktycznie został wystawiony przez instytucję, którą reprezentuje. W przeglądarkach użytkowników zewnętrznych wyświetlane będą ostrzeżenia informujące, że dana strona nie jest zaufana. Może to zasugerować im, że jest to strona ze szkodliwym oprogramowaniem, przez co nie zdecydują się jej otworzyć.

Certyfikaty z podpisem własnym

Certyfikat podpisany jedynie przez właściciela witryny jest nazywany certyfikatem z podpisem własnym. Certyfikaty z podpisem własnym są powszechnie stosowane w witrynach, które są dostępne wyłącznie dla użytkowników w wewnętrznej sieci instytucji (LAN). W przypadku komunikacji z witryną spoza sieci wewnętrznej, która korzysta z certyfikatu z podpisem własnym, niemożliwe jest sprawdzenie, czy witryna wystawiająca certyfikat rzeczywiście reprezentuje daną firmę. Istnieje ryzyko komunikacji ze złośliwym podmiotem, co stanowi zagrożenie dla danych.

Tworzenie certyfikatu z podpisem własnym nie powinno być brane pod uwagę w środowiskach produkcyjnych, gdyż może to prowadzić do nieoczekiwanych wyników i niewłaściwego działania instytucji.

Certyfikat z podpisem własnym może przydać się do przeprowadzenia wstępnych testów po skonfigurowaniu instytucji. Dzięki niemu można szybko sprawdzić, czy proces konfiguracji przebiegł pomyślnie. Jednak w przypadku stosowania certyfikatu z podpisem własnym podczas testów mogą wystąpić następujące problemy:

  • Podczas uzyskiwania dostępu do instytucji z przeglądarki internetowej lub komputerowej aplikacji klienckiej będą wyświetlane ostrzeżenia o niezaufanej witrynie.

    W przypadku certyfikatu z podpisem własnym w przeglądarce wyświetlane jest ostrzeżenie i monit o potwierdzenie chęci przejścia do danej witryny. W wielu przeglądarkach, jeżeli używany jest certyfikat z podpisem własnym, jest wyświetlana ikona ostrzegawcza lub czerwony kolor paska adresu. W przypadku skonfigurowania instytucji z certyfikatem z podpisem własnym należy oczekiwać tego typu ostrzeżeń.

  • Nie można otworzyć sfederowanej usługi w przeglądarce map, dodać elementu usługi zabezpieczonej do instytucji, zalogować się do aplikacji ArcGIS Server Manager na serwerze sfederowanym lub połączyć się z instytucją z poziomu aplikacji ArcGIS for Office.

    Aby pozwolić na zalogowanie z poziomu aplikacji ArcGIS for Office, zainstaluj certyfikat z podpisem własnym w magazynie certyfikatów Zaufane główne urzędy certyfikacji na komputerze z oprogramowaniem ArcGIS for Office.

  • Podczas drukowania hostowanych usług i uzyskiwania dostępu do instytucji z aplikacji klienckich może wystąpić nieoczekiwane zachowanie.

Uwaga:

Powyższa lista problemów występujących w przypadku używania certyfikatu z podpisem własnym nie jest wyczerpująca. Do pełnego przetestowania i wdrożenia instytucji ArcGIS Enterprise zalecane jest użycie certyfikatu domeny lub certyfikatu podpisanego przez urząd certyfikacji.

Tworzenie programu nasłuchującego HTTPS

Możliwość nasłuchiwania przez aplikację na portach uprzywilejowanych (1 do 1023) jest zwykle ograniczona do procesów uruchamianych przez użytkownika root. Istnieje kilka sposobów na uniknięcie uruchomienia serwera internetowego jako użytkownik root. Przykłady:

  • Dodaj właściwość CAP_NET_BIND_SERVICE do pliku jednostki usługowej lub ustaw w pliku binarnym aplikacji.
  • Użyj pakietu authbind, aby zezwolić procesowi lub zestawowi procesów na nasłuchiwanie na określonym porcie.
  • Uruchom program nasłuchujący serwera internetowego na nieuprzywilejowanym porcie i użyj reguł zapory, aby przekierować pakiety wysyłane na standardowe porty HTTP/HTTPS (80/443) na porty nieuprzywilejowane (na przykład 8080/8443).

Aby uzyskać więcej informacji, zapoznaj się z dokumentacją serwera internetowego.

Podczas tworzenia programu nasłuchującego HTTPS użytkownik korzystający z serwera internetowego będzie potrzebował pozwolenia na dostęp do certyfikatu serwera używanego do komunikacji TLS na określonym porcie. Jeśli program nasłuchujący HTTP działa, ale protokół HTTPS nie jest dostępny, dziennik serwera internetowego wskaże powód, dla którego program nasłuchujący nie zdołał połączyć się z portem.

Testowanie witryny

Po uzyskaniu lub utworzeniu certyfikatu powiązanego z portem 443 skonfiguruj aplikację Web Adaptor do pracy z instytucją. Konieczne będzie przejście do strony konfiguracyjnej aplikacji ArcGIS Web Adaptor za pośrednictwem adresu URL HTTPS, np. https://webadaptorhost.domain.com/webadaptorname/webadaptor.

Po skonfigurowaniu aplikacji Web Adaptor należy sprawdzić, czy protokół HTTPS działa prawidłowo. W tym celu do instytucji należy wysłać żądanie HTTPS, np. https://webadaptorhost.domain.com/webadaptorname/home. W przypadku testowania z wykorzystaniem certyfikatu z podpisem własnym należy odrzucać ostrzeżenia przeglądarki o niezaufanych połączeniach. Zazwyczaj wymaga to dodania wyjątku do przeglądarki w celu umożliwienia jej komunikacji z witryną korzystającą z certyfikatu z podpisem własnym.