Para proteger a comunicação de rede entre o ArcGIS Web Adaptor e a organização doArcGIS Enterprise, use o protocolo de HTTPS.
O protocolo de HTTPS é uma tecnologia de segurança padrão utilizada para estabelecer um link codificado entre um servidor da web e um cliente da web. O HTTPS facilita a comunicação de rede segura identificando e autenticando o servidor, como também, garantindo a privacidade e integridade de todos os dados transmitidos. Já que o HTTPS previne verificar ou alterar as informações enviadas pela rede, ele deve ser utilizado com qualquer mecanismo de autenticação ou login e em qualquer rede onde a comunicação contém informações confidenciais ou proprietárias.
Anotação:
O uso da porta 443 padrão de HTTPS é apropriado para a grande maioria das imlpatações. Em alguns casos raros, uma instância do ArcGIS Web Adaptor não pode utilizar a porta 443 no seu servidor da web para razões específicas da organização. Se isto se aplicar à sua organização, consulte Utilizar portas não padrão para o ArcGIS Web Adaptor do portal, o qual detalha as etapas adicionais para configurar uma solução alternativa.
Você deve obter um certificado de servidor e vinculá-lo ao site da web que hospeda o ArcGIS Web Adaptor. Cada servidor da web tem seu próprio procedimento para carregar um certificado e vincular ao site da web.
Tenha certeza também que seu servidor da web esteja configurado para ignorar certificados cliente para acessar corretamente serviços seguros em HTTPS.
Criar ou obter um certificado de servidor
Para criar uma conexão de HTTPS entre ArcGIS Web Adaptor e a organização, o servidor da web exige um certificado de servidor. Um certificado é um arquivo digital que contém informações sobre a identidade do servidor da web. Ele também contém a técnica de criptografia para utilizar ao estabelecer um canal seguro entre o servidor da web e o portal. Um certificado deve ser criado pelo proprietário do site da web e digitalmente assinado. Há três tipos de certificados—CA assinado, domínio e auto-assinado—que são explicados abaixo.
Certificados assinados CA
Os certificados assinados por uma autoridade de certificação independente (CA) garantem aos clientes que a identidade do site foi verificada. A autoridade de cetificação é normalmente um terceiro confiável que pode atestar a autenticidade de um site da web. Se um site da web for confiável, a autoridade de certificação adicionará sua própria assinatura digital neste certificado auto-assinado do site da web. Isto garante aos clientes da web que a identidade do site da web foi verificada.
Use certificados assinados pela CA para sistemas de produção, particularmente se a sua organização do ArcGIS Enterprise for acessada por usuários fora da sua organização.
Quando você usa um certificado emitido por uma autoridade de certificação conhecida, a comunicação segura entre o servidor e o cliente da web ocorre automaticamente, sem nenhuma ação especial exigida pelo administrador do portal ou clientes que o acessam. Não há mensagens de aviso ou comportamento inesperados exibidos no navegador da web, pois o site da web foi verificado pela autoridade de certificação.
Certificados de domínio
Se o portal estiver localizado atrás de seu firewall e você não conseguir usar um certificado assinado por CA, use um certificado de domínio. Um certificado de domínio é um certificado interno assinado pela autoridade de certificação da sua organização. A utilização de um certificado de domínio ajuda a reduz o custo da emissão de certificados e facilita a implantação do certificado, pois os certificados podem ser gerados dentro da sua organização para uso interno de confiança.
Os usuários dentro do seu domínio não experimentarão quaisquer mensagens de aviso ou comportamento inesperados normalmente associados com um certificado auto-assinado, pois o site da web foi verificado pelo certificado de domínio. Porém, certificados de domínio não são validados por uma autoridade de certificação externa, significando que usuários visitando seu site de fora do seu domínio não poderão verificar se o seu certificado realmente representa a parte que reivindica para representar. Os usuários externos visualizarão avisos no navegador sobre o site não ser confiável, o que pode levá-los a pensar que realmente estão se comunicando com uma parte maliciosa e sairão do seu site.
Criar um certificado de domínio e ativar HTTPS
A conclusão bem sucedida do assistente de configuração do ArcGIS Enterprise exige que HTTPS seja habilitado no servidor da web na máquina onde a implantação de base está instalada.
Se HTTPS não estiver habilitado, o assistente de configuração não completará e você receberá a seguinte mensagem de erro:
A URL https://mymachine.mydomain.com/server do Web Adaptor não pode ser alcançada. Verifique se HTTPS foi habilitado para servidor da web. Para instruções sobre habilitar HTTPS, vá até o Tópico de Ajuda: Introduzindo ArcGIS Enterprise > ArcGIS Enterprise Builder > Planejar uma implantação de base.
Anotação:
Na maioria dos casos, seu administrador de TI irá oferecê-lo certificados e vinculá-los à porta 443 HTTPS.
Em 2017, o Google Chrome começou a confiar apenas em certificados com um parâmetro Nome Alternativo de Assunto (SAN) que não pode ser configurado ao criar um certificado no aplicativo Gerenciador do IIS.
Se você estiver utilizando o IIS e for necessário criar um certificado de domínio, consulte Criar um certificado de domínio, que fornece um script para ser executado em sua máquina que criará o certificado apropriado e o vinculará à porta HTTPS 443.
Certificados auto-assinados
Um certificado assinado somente pelo proprietário do site da web é denominado de certificado auto-assinado. Os certificados auto-assinados são comumente utilizados em sites da web que estão disponíveis somente para usuários na rede interna da organização (LAN). Se você comunicar com um site da web fora de sua própria rede que utiliza um certificado auto assinado, você não terá nenhum modo para verificar se o site que emite o certificado realmente representa a parte que ele reivindica para representar. Você realmente pode se comunicar com uma parte maliciosa, colocando suas informações em risco.
A criação de um certificado auto-assinado não deve ser considerada uma opção válida para um ambiente de produção, pois levará a resultados inesperados e uma experiência inválida para todos os usuários do portal.
Ao instalar o portal pela primeira vez, é possível utilizar um certificado auto-assinado para fazer algum teste inicial para ajudá-lo a verificar rapidamente se a sua configuração foi bem sucedida. Porém, se você utilizar um certificado auto-assinado, você experimentará o seguinte ao testar:
- Você receberá avisos sobre o site não ser confiável ao acessar o portal de um navegador da web ou cliente de desktop.
Quando um navegador da web encontra um certificado auto assinado, ele geralmente exibe um aviso e pede que você confirme se deseja prosseguir para o site. Muitos navegadores exibem ícones de aviso ou uma cor vermelha na barra de endereço já que você usa o certificado auto assinado. Espere ver esses tipos de avisos se você configurar o portal com um certificado auto assinado.
- Você pode abrir um serviço federado em um visualizador de mapa, adicionar um item de serviço seguro no portal, entrar no ArcGIS Server Manager em um servidor federado ou conectar ao portal a partir do ArcGIS for Office.
Para permitir que você entre a partir do ArcGIS for Office, instale o certificado auto assinado no armazenamento de certificados das Autoridades de Certificação Raiz Confiáveis na máquina executando ArcGIS for Office.
- Você pode experimentar um comportamento inesperado ao imprimir serviços hospedados e acessar o portal a partir de aplicativos cliente.
Aviso:
A lista de problemas acima, você experimentará ao utilizar um certificado auto assinado que não é exaustivo. É recomendado que você utilize um certificado de domínio ou certificado assinado pela CA para testar completamente e implantar um portal ArcGIS Enterprise.
Vincular o certificado ao site da web
Você deve vincular seu certificado ao site hospedandoArcGIS Web Adaptor. O vínculo refere-se ao processo de configuração do certificado para utilizar a porta 443 no site da web.
Anotação:
O script no Criar um certificado de domínio vinculará seu certificado para você.
As instruções para vincular um certificado com o site da web varia dependendo da plataforma e versão de seu servidor da web. Para instruções, consulte seu administrador do sistema ou documentação do seu servidor da web. Por exemplo, as etapas para vincular um certificado no IIS estão abaixo.
- Selecione seu site na visualização de árvore e no painel Ações, clique em Vínculos.
- Se a porta 443 não estiver disponível na lista Bindings, clique em Adicionar. A partir da lista suspensa Tipo, selecione https. Mantenha a porta em 443.
- Se a porta 443 estiver listada, selecione a porta da lista e clique em Editar.
- A partir da lista suspensa de certificado, selecione seu nome de certificado e clique em OK.
Testar seu site
Após obter ou criar um certificado vinculado à porta 443, configure seu Web Adaptor para utilizar com a organização. Você deve acessar a página de configuração do ArcGIS Web Adaptor usando uma URL de HTTPS como https://webadaptorhost.domain.com/webadaptorname/webadaptor.
Após configurar o Web Adaptor, teste se o HTTPS está funcionando corretamente, fazendo uma solicitação de HTTPS para a organização, por exemplo, https://webadaptorhost.domain.com/webadaptorname/home. Se você for testar com um certificado auto assinado, ignore os avisos do navegador sobre conexões não confiáveis. Isto normalmente envolve adicionar uma exceção no seu navegador de forma que ele permitirá a você se comunicar com o site que está utilizando um certificado auto assinado.