O HTTPS é um meio de codificar comunicações "para" e "de" um servidor da web. O HTTPS também permite que um aplicativo cliente confirme a identidade do servidor da web. Ao utilizar HTTPS, cada servidor da web onde o HTTPS está habilitado deve enviar um certificado para clientes. O certificado contém uma declaração de identidade (gis.mycity.gov) e uma chave pública que o cliente pode utilizar para enviar informações codificadas para o servidor da web.
O Portal for ArcGIS normalmente transmite informações que precisam ser codificadas; portanto, o HTTPS está sempre habilitado no portal. É recomendado que o certificado utilizado seja assinado por uma autoridade de certificação (CA) corporativa (interna) ou comercial. O portal propriamente inclui um certificado auto assinado. Um certificado auto assinado significa que um cliente não pode verificar a identidade do servidor. Substituir o certificado auto assinado por um certificado assinado pela CA melhora a segurança de sua implantação.
Há duas maneiras para utilizar um certificado CA assinado com o portal:
- Gerar novo certificado CA assinado—Gere uma solicitação de assinatura do certificado (CSR), assine-a por sua autoridade de certificação e importe-a para o portal.
- Utilizar um certificado CA assinado existente—Se você já tiver um certificado CA assinado existente atribuído à máquina do portal, importe-o no portal.
Anotação:
Estes fluxos de trabalho aplicam a comunicação de HTTPS com Portal for ArcGIS na porta 7443 somente. Para gerar ou importar um certificado assinado - CA do web adaptor, consulte a documentação do servidor da web onde o web adaptor está instalado.
Para instruções completas nestes processos, consulte as etapas nas seções abaixo.
Gerar novo certificado CA assinado
Você pode ativar o HTTPS utilizando um novo certificado assinado por um CA corporativo (interno) ou comercial. As etapas são as seguintes:
Gerar um novo certificado
Para gerar um novo relatório, complete as seguintes etapas:
- Entre no Portal Administrator Directory como Administrador de sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Clique em Segurança > Certificados SSL > Gerar.
Anotação:
Se o seu portal estiver altamente disponível, você deverá navegar até Máquinas > [machine] > SSLCertificates > Gerar, então repetir as seguintes etapas para cada máquina do portal. - Na página Gerar Certificado, insira as seguintes informações:
- Nome Alternativo—Um único nome que identifica o nome do certificado (por exemplo, portalcert).
- Algoritmo Chave—RSA (o padrão) ou DSA.
- Tamanho da Chave—Especifica o tamanho (em bits) utilizado ao gerar chaves criptográficas utilizadas para criar o certificado. Quanto maior o tamanho da chave, mais difícil será quebrar a criptografia; porém, o tempo para decifrar os dados codificados aumenta com o tamanho da chave. Para RSA, o tamanho da chave recomendado é 2,048 ou maior. Para DSA, o tamanho da chave pode estar entre 512 e 1,024.
- Algoritmo de Assinatura—Utilize o padrão (SHA256withRSA). Se a sua organização tiver restrições de segurança específicas, um dos seguintes algoritmos poderá ser utilizado com o DSA: SHA384withRSA, SHA512withRSA, SHA1withRSA, ou SHA1withDSA.
- Nome Comum—Este campo é opcional e é utilizado para compatibilidade com versões anteriores com navegadores da web e software mais antigos. É recomendado utilizar o nome de domínio completamente qualificado de sua máquina do portal como o nome comum.
- Unidade Organizacional—Um nome de departamento que seria significativo para um usuário do seu site (por exemplo, GIS Department).
- Organização—O nome da sua organização (por exemplo, Esri).
- Cidade ou Localidade—O nome da sua cidade ou local (por exemplo, Redlands).
- Estado ou Província—O nome do seu estado ou província (por exemplo, California).
- Código do País—O código do país de duas letras onde sua organização reside (por exemplo, US).
- Validade—O número de dias que o certificado será válido (por exemplo, 365).
- Nome Alternativo do Assunto—O nome de assunto alternativo (SAN) é utilizado para validar que o certificado SSL apresentado pelo site da web sendo acessado foi emitido para este site da web.
Se este parâmetro for deixado vazio, o nome do domínio completamente qualificado da máquina local é utilizada como o valor padrão. O campo SAN suporta valores múltiplos; entretanto, ele deve incluir o nome de domínio do site da web completamente qualificado. O valor de parâmetro de San não pode conter espaços.
Com a utilização do SAN, um certificado permite o uso de diferentes URLs para acessar o mesmo site da web. Por exemplo, as URLs https://www.esri.com, https://esri e https://10.60.1.16 podem ser utilizadas para acessar o mesmo site se o certificado for criado utilizando os seguintes valores de parâmetro:
CN=www.esri.com
SAN=DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- Clique em Gerar. Um link para seu certificado aparece na página de certificados.
Solicitar uma CA para assinar seu certificado
Para navegadores da web confiem no seu certificado, ele deve ser verificado e assinado por um CA, tais como, sua organização, Verisign ou Thawte.
- Na página de certificados, clique no nome do seu certificado.
- Clique em Gerar CSR. Na página Gerar CSR, copie o conteúdo do CSR e o cole em um arquivo. Salve o arquivo com a extensão .csr (por exemplo, portalcert.csr).
- Envie o CRS a uma CA. É recomendado que você obtenha um certificado Distinguished Encoding Rules (DER) ou Base64 codificado. Se a CA solicitar o tipo de servidor da web do certificado, especifique Outro\Desconhecido ou Servidor de Aplicativo Java. Após verificar sua identidade, a CA enviará a você um arquivo com a extensão .crt ou .cer.
- Salve o certificado assinado recebido da CA em um local na sua máquina do portal. Além do certificado assinado, a CA também emitirá um certificado raiz. Salve o certificado CA raiz na sua máquina do portal.
- Entre no Portal Administrator Directory como Administrador de sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Clique em Segurança > SSLCertificates > Importar Raiz ou Intermediário.
Anotação:
Se o seu portal estiver altamente disponível, você deverá navegar até Máquinas > [machine] > SSLCertificates > Importar Raiz ou Intermediário, então repetir as seguintes etapas para cada máquina do portal. - Procure pelo local do certificado raiz fornecido pela CA. Clique em Importar. Se a CA enviou certificados intermediários adicionais, também importe. O Portal for ArcGIS reiniciará automaticamente para cada certificado importado. Não importe o certificado assinado.
- Retornar à página SSLCertificates .
- Clique no nome do certificado que você gerou na seção anterior (por exemplo, portalcert).
- Clique em Importar Certificado Assinado e procure o local onde você salvou o certificado assinado recebido da CA.
- Clique em Importar. O certificado que você criou na seção anterior é substituído pelo certificado CA assinado.
Configurar Portal for ArcGIS para usar certificado CA assinado
Para configurar Portal for ArcGIS para usar o certificado CA assinado, complete as seguintes etapas:
- Entre no Portal Administrator Directory como Administrador de sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Clique em Segurança > Certificados SSL > Atualizar.
Anotação:
Se o seu portal estiver altamente disponível, você deverá navegar até Máquinas > [machine] > SSLCertificates > Atualizar, então repetir as seguintes etapas para cada máquina do portal. - No campo Certificado SSL do Servidor da Web, insira o nome alternativo do certificado CA assinado. O nome alternativo que você especifica deve corresponder ao nome alternativo do certificado que foi substituído com o certificado CA assinado na seção anterior.
- Clique em Atualizar.
O certificado CA assinado agora será utilizado para HTTPS.
Verificar se você pode acessar seu portal utilizando HTTPS
Teste a seguinte URL para verificar se você pode acessar o portal utilizando HTTPS: https://portalhost.domain.com:7443/arcgis/home.
Utilizar um certificado CA assinado existente
Se você já tiver um certificado emitido por uma CA corporativa (interna) ou comercial, você poderá utilizar este certificado para ativar o HTTPS.
Importar um certificado CA assinado existente
Aviso:
Para importar o certificado no seu portal, o certificado e sua chave privada associada devem ser armazenados no formato PKCS#12, que é representado por um arquivo com a extensão .p12 ou .pfx.
- Entre no Portal Administrator Directory como Administrador de sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Clique em Segurança > Certificados SSL > Importar Certificado do Servidor Existente.
Anotação:
Se o seu portal estiver altamente disponível, você deverá navegar até Máquinas > [machine] > SSLCertificates > Importar Certificado do Servidor Existente, então repetir as seguintes etapas para cada máquina do portal. - Na página Importar Certificado do Servidor Existente, especifique as seguintes informações:
- Senha do Certificado—Insira a senha para desbloquear o arquivo contendo o certificado.
- Nome Alternativo—Insira um único nome que identifique facilmente o certificado (por exemplo, rootcert).
- Arquivo—Procure o local do certificado CA assinado existente.
- Importar cadeia de certificados — Quando selecionado, quaisquer certificados raiz ou intermediários, incluídos no arquivo .pfx ou .p12 também serão importados. O nome alternativo desses certificados corresponderá ao nome alternativo inserido acima e será anexado a _root ou _intermediate dependendo do tipo de certificado.
- Clique em Importar.
Importar o certificado CA raiz
Após importar um certificado existente assinado por uma CA, os certificados raiz e intermediários poderão já ter sido importados. Eles seriam listados em Segurança > Certificados SSL.
Se eles não foram importados ou se for necessário um certificado raiz ou intermediário adicional, complete as seguintes etapas:
- Clique em Segurança > SSLCertificates > Importar Raiz ou Intermediário.
Anotação:
Se o seu portal estiver altamente disponível, você deverá navegar até Máquinas > [machine] > SSLCertificates > Importar Raiz ou Intermediário, então repetir as seguintes etapas para cada máquina do portal. - Procure pelo local do certificado raiz fornecido pela CA. Clique em Importar. Se a CA enviou certificados intermediários adicionais, também importe. Não importe o certificado CA assinado.
- Reinicie o serviço Portal for ArcGIS.
Configurar Portal for ArcGIS para usar certificado CA assinado
Para configurar Portal for ArcGIS para usar o certificado CA assinado, complete as seguintes etapas:
- Clique em Segurança > Certificados SSL > Atualizar.
Anotação:
Se o seu portal estiver altamente disponível, você deverá navegar até Máquinas > [machine] > SSLCertificates > Atualizar, então repetir as seguintes etapas para cada máquina do portal. - No campo Certificado SSL do Servidor da Web, insira o nome alternativo do certificado CA assinado existente.
- Clique em Atualizar.
O certificado CA assinado existente será utilizado para HTTPS.
Verificar se você pode acessar seu portal utilizando HTTPS
Teste a seguinte URL para verificar se você pode acessar o portal utilizando HTTPS: https://portalhost.domain.com:7443/arcgis/home.