O protocolo de HTTPS é uma tecnologia de segurança padrão utilizada para estabelecer um link codificado entre um servidor da web e um cliente da web. O HTTPS facilita a comunicação de rede segura identificando e autenticando o servidor, como também, garantindo a privacidade e integridade de todos os dados transmitidos. Já que o HTTPS previne verificar ou alterar as informações enviadas pela rede, ele deve ser utilizado com qualquer mecanismo de autenticação ou login e em qualquer rede onde a comunicação contém informações confidenciais ou proprietárias.
Para codificar a comunicação entre o ArcGIS Web Adaptor e Portal for ArcGIS, o uso de HTTPS é exigido. Isto assegura que os nomes, senhas, e outras informações importantes não pode ser decifrado como eles são enviados entre o ArcGIS Web Adaptor e o portal. Ao utilizar HTTPS, você se conecta às suas páginas da web e recursos utilizando o protocolo de HTTPS ao invés de HTTP.
Anotação:
O uso da porta 443 padrão de HTTPS é apropriado para a grande maioria de usuários. Em alguns casos raros, uma instância do ArcGIS Web Adaptor não pode utilizar a porta 443 no seu servidor da web para razões específicas da organização. Se isto se aplica a sua organização, consulte Utilizar portas não padrões para o portal do ArcGIS Web Adaptor, o qual detalha as etapas adicionais para configurar uma solução alternativa.
Você precisa obter um certificado de servidor e vinculá-lo para o site da web que hospeda o ArcGIS Web Adaptor. Cada servidor da web tem seu próprio procedimento para carregar um certificado e vincular ao site da web.
Tenha certeza também que seu servidor da web esteja configurado para ignorar certificados cliente para acessar corretamente serviços seguros em HTTPS.
Criar um certificado do servidor
Para ser capaz de criar uma conexão de HTTPS entre o ArcGIS Web Adaptor e seu portal, o servidor da web requer um certificado de servidor. Um certificado é um arquivo digital que contém informações sobre a identidade do servidor da web. Ele também contém a técnica de criptografia para utilizar ao estabelecer um canal seguro entre o servidor da web e o portal. Um certificado deve ser criado pelo proprietário do site da web e digitalmente assinado. Há três tipos de certificados—CA assinado, domínio e auto-assinado—que são explicados abaixo.
Certificados assinados CA
Os certificados assinados pela autoridade de certificação (CA) devem ser utilizados para sistemas de produção, particularmente se a sua implantação do Portal for ArcGIS for acessada por usuários fora da sua organização. Por exemplo, se o seu portal não tiver um firewall e for acessível pela Internet, utilizar um certificado assinado CA garante aos clientes de fora da sua organização que a identidade do site da web foi verificada.
Além de ser assinado pelo proprietário do site da web, um certificado pode ser assinado por uma CA independente. O CA é normalmente um terceiro confiável que pode atestar a autenticidade de um site da web. Se um site da web for confiável, a CA adicionará sua própria assinatura digital neste certificado auto-assinado do site da web. Isto garante aos clientes da web que a identidade do site da web foi verificada.
Ao utilizar um certificado emitido por uma CA bem conhecida, a comunicação segura entre o servidor e o cliente da web ocorre automaticamente sem ação especial exigida pelo usuário. Não há mensagens de aviso ou comportamento inesperados exibidos no navegador da web, já que o site da web foi verificado pela CA.
Certificados de domínio
Se o seu portal tiver um firewall e a utilização de um certificado assinado CA não for possível, utilizar um certificado de domínio é uma solução aceitável. Um certificado de domínio é um certificado interno assinado pela autoridade de certificação da sua organização. A utilização de um certificado de domínio ajuda você a reduz o custo da emissão de certificados e facilita a implantação do certificado, desde que os certificados possam ser gerados rapidamente dentro da sua organização para uso interno de confiança.
Os usuários dentro do seu domínio não experimentarão quaisquer mensagens de aviso ou comportamento inesperados normalmente associados com um certificado auto-assinado, já que o site da web foi verificado pelo certificado de domínio. Porém, certificados de domínio não são validados por um CA externo, significando que usuários visitando seu site de fora do seu domínio não poderão verificar se o seu certificado realmente representa a parte que reivindica para representar. Os usuários externos verão avisos no navegador sobre o site não ser confiável, o que pode levá-los a pensar que realmente estão se comunicando com uma parte maliciosa e sairão do seu site.
Certificados auto-assinados
A criação de um certificado auto-assinado não deve ser considerada uma opção válida para um ambiente de produção, pois levará a resultados inesperados e uma experiência inválida para todos os usuários do portal.
Um certificado assinado somente pelo proprietário do site da web é denominado de certificado auto-assinado. Os certificados auto-assinados são comumente utilizados em sites da web que estão disponíveis somente para usuários na rede interna da organização (LAN). Se você comunicar com um site da web fora de sua própria rede que utiliza um certificado auto assinado, você não terá nenhum modo para verificar se o site que emite o certificado realmente representa a parte que ele reivindica para representar. Você realmente pode se comunicar com uma parte maliciosa, colocando suas informações em risco.
Ao instalar o portal pela primeira vez, você pode utilizar um certificado auto-assinado para fazer algum teste inicial para ajudá-lo a verificar rapidamente se a sua configuração foi bem sucedida. Porém, se você utilizar um certificado auto-assinado, saiba que você experimentará o seguinte ao testar:
- O navegador da web e o ArcGIS Desktop avisa sobre o site não confiável. Quando um navegador da web encontrar um certificado auto assinado, ele normalmente exibirá um aviso e pedirá a você para confirmar que deseja prosseguir no site. Muitos navegadores exibem ícones de aviso ou uma cor vermelha na barra de endereço já que você está utilizando o certificado auto assinado. Você deve esperar por estes tipos de avisos se configurar seu portal com um certificado auto assinado.
- Inabilidade para abrir um serviço federado no Map Viewer, adicionar um item de serviço seguro no portal, entrar no ArcGIS Server Manager em um servidor federado e conectar ao portal do Esri Maps for Office.
- Comportamento inesperado ao imprimir serviços hospedados e acessar o portal de aplicativos cliente.
- Inabilidade para entrar no portal pelo Esri Maps for Office a menos que o certificado auto-assinado esteja instalado no armazenamento de certificado Autoridades de Certificação Raiz Confiáveis na máquina executando o Esri Maps for Office.
Aviso:
A lista de problemas acima, você experimentará ao utilizar um certificado auto assinado que não é exaustivo. É recomendado que você utilize um certificado de domínio ou certificado assinado CA para testar e desenvolver seu portal completamente.
Vincular o certificado ao site da web
Após você criar um certificado auto assinado, você precisará vinculá-lo ao site da web hospedando o ArcGIS Web Adaptor. O vínculo refere-se ao processo de configuração do certificado para utilizar a porta 443 no site da web.
Anotação:
As instruções para vincular um certificado com o site da web varia dependendo da plataforma e versão de seu servidor da web. Para instruções, consulte seu administrador do sistema ou documentação do seu servidor da web.
Testar seu site
Após obter ou criar um certificado vinculado à porta 443, é possível configurar seu Web Adaptor para utilizar com o portal. Você precisará acessar a página de configuração do ArcGIS Web Adaptor utilizando uma URL de HTTPS como https://webadaptorhost.domain.com/webadaptorname/webadaptor.
Após configurar seu Web Adaptor, você deve testar se o HTTPS está funcionando corretamente, criando um pedido de HTTPS no site da web do portal, por exemplo, https://webadaptorhost.domain.com/webadaptorname/home. Se você for testar com um certificado auto assinado, ignore os avisos do navegador sobre conexões não confiáveis. Isto normalmente envolve adicionar uma exceção no seu navegador de forma que ele permitirá a você se comunicar com o site que está utilizando um certificado auto assinado.
Para mais informações sobre utilizar SSL na sua implantação do portal, consulte Melhores práticas de segurança.