Para proteger a comunicação de rede entre o ArcGIS Web Adaptor e a organização doArcGIS Enterprise, use o protocolo de HTTPS.
O protocolo de HTTPS é uma tecnologia de segurança padrão utilizada para estabelecer um link codificado entre um servidor da web e um cliente da web. O HTTPS facilita a comunicação de rede segura identificando e autenticando o servidor, como também, garantindo a privacidade e integridade de todos os dados transmitidos. Já que o HTTPS previne verificar ou alterar as informações enviadas pela rede, ele deve ser utilizado com qualquer mecanismo de autenticação ou login e em qualquer rede onde a comunicação contém informações confidenciais ou proprietárias.
Anotação:
O uso da porta 443 padrão de HTTPS é apropriado para a grande maioria das imlpatações. Em casos raros, uma instância do ArcGIS Web Adaptor não pode utilizar a porta 443 no seu servidor da web para razões específicas da organização. Se isto se aplicar à sua organização, consulte Utilizar portas não padrão para o ArcGIS Web Adaptor do portal, o qual detalha as etapas adicionais para configurar uma solução alternativa.
A ativação do HTTPS em um servidor da web requer um certificado de servidor contendo uma chave pública e privada. Cada servidor web tem seu próprio método para importar ou referenciar um certificado em um ouvinte HTTPS.
Certifique-se também que seu servidor da web esteja configurado para ignorar certificados cliente para acessar serviços seguros por HTTPS, a menos que a autenticação na camada da web por meio de autenticação de certificado cliente baseada em PKI esteja configurada.
Criar ou obter um certificado de servidor
Para criar uma conexão de HTTPS entre ArcGIS Web Adaptor e a organização, o servidor da web exige um certificado de servidor. Um certificado é um arquivo digital que contém informações sobre a identidade do servidor da web. Ele também contém a técnica de criptografia para utilizar ao estabelecer um canal seguro entre o servidor da web e a organização. Um certificado deve ser criado pelo proprietário do site da web e digitalmente assinado. Há três tipos de certificados—CA assinado, domínio e auto-assinado—que são explicados abaixo.
Certificados assinados CA
Os certificados assinados por uma autoridade de certificação independente (CA) garantem aos clientes que a identidade do site foi verificada. A autoridade de cetificação é normalmente um terceiro confiável que pode atestar a autenticidade de um site da web. Se um site da web for confiável, a autoridade de certificação adicionará sua própria assinatura digital neste certificado auto-assinado do site da web. Isto garante aos clientes da web que a identidade do site da web foi verificada.
Use certificados assinados pela CA para sistemas de produção, particularmente se a sua organização do ArcGIS Enterprise for acessada por usuários fora da sua organização.
Quando você usa um certificado emitido por uma autoridade de certificação conhecida, a comunicação segura entre o servidor e o cliente web ocorre automaticamente sem nenhuma ação especial exigida pelo administrador da organização ou clientes que o acessam. Não há mensagens de aviso ou comportamento inesperados exibidos no navegador da web, pois o site da web foi verificado pela autoridade de certificação.
Certificados de domínio
Se a organização estiver localizada atrás de seu firewall e você não conseguir usar um certificado assinado por CA, use um certificado de domínio. Um certificado de domínio é um certificado interno assinado pela autoridade de certificação da sua organização. A utilização de um certificado de domínio ajuda a reduz o custo da emissão de certificados e facilita a implantação do certificado, pois os certificados podem ser gerados dentro da sua organização para uso interno de confiança.
Os usuários dentro do seu domínio não experimentarão quaisquer mensagens de aviso ou comportamento inesperados normalmente associados com um certificado auto-assinado, pois o site da web foi verificado pelo certificado de domínio. Quando você usa um certificado emitido por uma autoridade de certificação conhecida, a comunicação segura entre o servidor e o cliente web ocorre automaticamente sem nenhuma ação especial exigida pelo administrador da organização ou clientes que o acessam. Os usuários externos verão avisos do navegador sobre o site não ser confiável, o que pode levá-los a pensar que estão se comunicando com uma parte maliciosa e ser afastados do seu site.
Criar um certificado de domínio e ativar HTTPS
A conclusão bem sucedida do assistente de configuração do ArcGIS Enterprise exige que HTTPS seja habilitado no servidor da web na máquina onde a implantação de base está instalada.
Se HTTPS não estiver habilitado, o assistente de configuração não completará e você receberá a seguinte mensagem de erro:
A URL https://mymachine.mydomain.com/server do Web Adaptor não pode ser alcançada. Verifique se HTTPS foi habilitado para servidor da web. Para instruções sobre habilitar HTTPS, vá até o Tópico de Ajuda: Introduzindo ArcGIS Enterprise > ArcGIS Enterprise Builder > Planejar uma implantação de base.
Anotação:
Na maioria dos casos, seu administrador de TI irá oferecê-lo certificados e vinculá-los à porta 443 HTTPS.
Em 2017, o Google Chrome começou a confiar apenas em certificados com um parâmetro Nome Alternativo de Assunto (SAN) que não pode ser configurado ao criar um certificado no aplicativo Gerenciador do IIS.
Se você estiver utilizando o IIS e for necessário criar um certificado de domínio, consulte Criar um certificado de domínio, que fornece um script para ser executado em sua máquina que criará o certificado apropriado e o vinculará à porta HTTPS 443.
Certificados auto-assinados
Um certificado assinado somente pelo proprietário do site da web é denominado de certificado auto-assinado. Os certificados auto-assinados são comumente utilizados em sites da web que estão disponíveis somente para usuários na rede interna da organização (LAN). Se você comunicar com um site da web fora de sua própria rede que utiliza um certificado auto assinado, você não terá nenhum modo para verificar se o site que emite o certificado representa a parte que ele reivindica para representar. Você pode estar se comunicando com uma parte maliciosa, colocando suas informações em risco.
A criação de um certificado auto-assinado não deve ser considerada uma opção válida para um ambiente de produção, pois levará a resultados inesperados e uma experiência inválida para todos os usuários da organização.
Ao configurar a organização, você pode usar um certificado autoassinado para fazer alguns testes iniciais para ajudá-lo a verificar rapidamente se sua configuração foi bem-sucedida. Porém, se você utilizar um certificado auto-assinado, você experimentará o seguinte ao testar:
- Você receberá avisos sobre o site não ser confiável ao acessar a organização de um navegador da web ou cliente de desktop.
Quando um navegador da web encontra um certificado auto assinado, ele geralmente exibe um aviso e pede que você confirme se deseja prosseguir para o site. Muitos navegadores exibem ícones de aviso ou uma cor vermelha na barra de endereço já que você usa o certificado auto assinado. Espere ver esses tipos de avisos se você configurar a organização com um certificado auto assinado.
- Você pode abrir um serviço federado em um visualizador de mapa, adicionar um item de serviço seguro na organização, entrar no ArcGIS Server Manager em um servidor federado ou conectar à organização a partir do ArcGIS for Office.
Para permitir que você entre a partir do ArcGIS for Office, instale o certificado auto assinado no armazenamento de certificados das Autoridades de Certificação Raiz Confiáveis na máquina executando ArcGIS for Office.
- Você pode experimentar um comportamento inesperado ao imprimir serviços hospedados e acessar a organização a partir de aplicativos cliente.
Aviso:
A lista de problemas acima, você experimentará ao utilizar um certificado auto assinado que não é exaustivo. É recomendado que você utilize um certificado de domínio ou certificado assinado pela CA para testar completamente e implantar uma organização do ArcGIS Enterprise.
Criar um ouvinte HTTPS
Ao criar um ouvinte HTTPS, o usuário que executa o servidor da web precisará de permissão para acessar o certificado do servidor usado para comunicações TLS na porta específica. Se o ouvinte HTTP estiver funcionando, mas o HTTPS não estiver disponível, o log do servidor da web indicará o motivo pelo qual o ouvinte falhou ao se conectar à porta.
Testar seu site
Após obter ou criar um certificado vinculado à porta 443, configure seu Web Adaptor para utilizar com a organização. Você deve acessar a página de configuração do ArcGIS Web Adaptor usando uma URL de HTTPS como https://webadaptorhost.domain.com/webadaptorname/webadaptor.
Após configurar o Web Adaptor, teste se o HTTPS está funcionando corretamente, fazendo uma solicitação de HTTPS para a organização, por exemplo, https://webadaptorhost.domain.com/webadaptorname/home. Se você for testar com um certificado auto assinado, ignore os avisos do navegador sobre conexões não confiáveis. Isto normalmente envolve adicionar uma exceção no seu navegador de forma que ele permitirá a você se comunicar com o site que está utilizando um certificado auto assinado.