HTTPS – это средство шифрования данных в и из веб-сервера. HTTPS также предоставляет возможность клиентскому приложению подтверждать подлинность веб-сервера. При использовании HTTPS каждый веб-сервер, где включен HTTPS, должен отсылать сертификат клиентам. Сертификат содержит утверждение подлинности (gis.mycity.gov) и публичный ключ, который клиент может использовать для отправки зашифрованной информации на этот веб-сервер.
Portal for ArcGIS часто передает информацию, которая требует шифрования, поэтому на портале всегда включен HTTPS. Используемый сертификат должен быть обязательно подписан корпоративным (внутренним) или коммерческим центром сертификации (CA). Портал действует с самозаверенным сертификатом. Самозаверенный сертификат означает, что клиент не может проверить подлинность сервера. В отличие от самозаверенного сертификата, сертификат, подписанный центром сертификации, существенно улучшает безопасность вашей системы.
Существуют два способа использования в портале сертификата центра сертификации (CA):
- Создать новый сертификат, подписанный центром сертификации – создание запроса на подпись сертификата (CSR), подписание сертификата центром сертификации, затем импорт сертификата в портал.
- Использование существующего сертификата, подписанного центром сертификации – если у вас уже имеется существующий сертификат, подписанный центром сертификации и присвоенный компьютеру, на котором размещен портал, импортируйте его в портал.
Примечание:
Эти рабочие процессы применяются только для коммуникации по протоколу HTTPS с Portal for ArcGIS по порту 7443. Для создания или импорта подписанного CA-сертификата для веб-адаптера обратитесь к документации веб-сервера, на котором установлен веб-адаптер.
Пошаговые инструкции с описанием этих операций см. в разделах ниже по тексту.
Создание нового сертификата, подписанного центром сертификации
Включить HTTPS можно с помощью нового сертификата, подписанного корпоративным (внутренним) или коммерческим центром сертификации. Порядок действий следующий (пошагово):
Создание нового сертификата
- Войдите в ArcGIS Portal Directory в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Щелкните Безопасность > SSLCertificates > Создать.
- На странице Создание сертификата введите следующую информацию:
- Псевдоним – уникальное имя для идентификации сертификата (например, portalcert).
- Алгоритм ключа – RSA (по умолчанию) или DSA.
- Размер ключа – задает размер (в битах), который используется при формировании криптографических ключей, которые используются для создания сертификата. Чем больше размер ключа, тем труднее взломать шифр, однако при этом возрастает время расшифровки данных. Для RSA рекомендуется использовать размер 2048 или больше. Для DSA размер ключа составляет от 512 до 1024.
- Алгоритм подписи – используйте по умолчанию (SHA256withRSA). Если в организации имеются особые ограничения, связанные с безопасностью, то с DSA можно использовать один из следующих алгоритмов: SHA384withRSA, SHA512withRSA, SHA1withRSA, SHA1withDSA.
- Общее имя - Это поле является дополнительным и используется для обратной совместимости с устаревшими веб-браузерами и программным обеспечением. Рекомендуется использовать полное доменное имя для компьютера вашего портала в качестве обычного имени.
- Организационное подразделение – название подразделения, которое будет понятным для пользователя сайта (например, GIS Department).
- Организация – название организации (например, Esri).
- Город нахождения – название города (например, Redlands).
- Штат или провинция – название штата или провинции (например, California).
- Код страны – двухбуквенный код страны нахождения вашей организации (например, US).
- Срок действия – количество дней до истечения срока действия данного сертификата (например, 365).
- Альтернативное имя субъекта - Альтернативное имя субъекта (SAN) используется для проверки того, что сертификат SSL, предоставляемый веб-сайтом, был выдан именно для этого веб-сайта.
Если не определяется ни одно имя SAN, некоторые веб-браузеры попытаются проверить сертификат SSL, используя параметр Обычное имя (CN), а некоторые браузеры могут отобразить сообщение об ошибке, что сертификат SSL, предоставляемый веб-сайтом, не может быть проверен. Поле SAN поддерживает множество значений. Однако оно должно содержать полное доменное имя веб-сайта. Значение параметра SAN не может содержать пробелов.
С помощью SAN сертификат позволяет использовать различные URL-адреса для доступа к одному и тому же веб-сайту.
Например, URL-адреса https://www.esri.com, https://esri и https://10.60.1.16 могут использоваться для доступа к одному и тому же сайту, если сертификат SSL создан с применением следующих значений параметров:
CN=www.esri.com
SAN=DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- Щелкните Создать. Ссылка на ваш сертификат появится на странице сертификатов.
Обращение в центр сертификации с запросом на подпись сертификата
Чтобы веб-браузеры считали сертификат доверенным, он должен быть проверен и получить вторую подпись одного из центров сертификации – вашей организации, Verisign или Thawte.
- На странице сертификатов щелкните по имени своего сертификата.
- Щелкните GenerateCSR. На странице Generate CSR скопируйте содержание CSR и вставьте его в файл. Сохраните этот файл с расширением .csr (например, portalcert.csr).
- Отправьте CSR-файл в центр сертификации. Рекомендуем вам получить сертификаты с кодировкой Distinguished Encoding Rules (DER) или Base64. Если CA запрашивает тип веб-сервера, для которого готовится сертификат, укажите Other\Unknown или Java Application Server. После проверки вашей личности вам будет отправлен файл с расширением .crt или .cer.
- Сохраните подписанный сертификат, полученный из центра сертификации, на компьютере портала. Помимо подписанного сертификата центр сертификации также издает корневой сертификат. Сохраните корневой сертификат центра сертификации на компьютере портала.
- Войдите в ArcGIS Portal Directory в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Щелкните Безопасность > SSLCertificates > Импортировать корневой или промежуточный сертификат.
- Выберите местонахождение корневого сертификата, указанное центром сертификации. Щелкните Импорт. Если центр сертификации издал дополнительные промежуточные сертификаты, импортируйте их тоже. Portal for ArcGIS будет автоматически перезапущен для каждого импортированного сертификата. Не импортируйте подписанный сертификат.
- Щелкните Безопасность > SSLCertificates.
- Щелкните имя сертификата, который вы создали в предыдущем подразделе (например, portalcert).
- Щелкните Импортировать подписанный сертификат и перейдите к местоположению, где находится подписанный сертификат, полученный из центра сертификации.
- Щелкните Импорт. Сертификат, созданный вами в предыдущем подразделе, будет заменен на сертификат, подписанный центром сертификации.
Настройка Portal for ArcGIS для использования сертификата, подписанного центром сертификации
- Войдите в ArcGIS Portal Directory в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Щелкните Безопасность > SSLCertificates > Обновить.
- В поле SSL-сертификат веб-сервера введите псевдоним сертификата, подписанного центром сертификации. Псевдоним, который вы указываете, должен совпадать с псевдонимом сертификата, который в предыдущем подразделе был заменен на сертификат, подписанный центром сертификации.
- Щелкните Обновить.
Сертификат, подписанный центром сертификации, не будет использоваться для HTTPS.
Убедитесь, что вы можете войти на портал через HTTPS
Попробуйте следующий URL-адрес, чтобы убедиться, что портал доступен по протоколу HTTPS: https://portalhost.domain.com:7443/arcgis/home.
Использование существующего сертификата, подписанного центром сертификации
Если у вас уже есть сертификат, изданный корпоративным (внутренним) или коммерческим центром сертификации (CA), вы можете использовать его для включения HTTPS.
Импорт корневого сертификата центра сертификации
- Войдите в ArcGIS Portal Directory в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Щелкните Безопасность > SSLCertificates > Импортировать корневой или промежуточный сертификат.
- Выберите местонахождение корневого сертификата, указанное центром сертификации. Щелкните Импорт. Если центр сертификации издал дополнительные промежуточные сертификаты, импортируйте их тоже. Не импортируйте сертификат, подписанный центром сертификации.
- Перезапустите сервис Portal for ArcGIS.
Импорт существующего сертификата, подписанного центром сертификации
Внимание:
Чтобы импортировать этот сертификат на свой портал, сертификат и его ключ должны хранится в формате PKCS#12, который выглядит как файл с расширением .p12 или .pfx.
- Щелкните Безопасность > SSLCertificates > Импортировать существующий сертификат сервера.
- На странице Импортировать существующий сертификат сервера укажите следующую информацию:
- Пароль сертификата – введите пароль для разблокировки файла, содержащего сертификат.
- Псевдоним – введите уникальное имя, которое позволяет легко идентифицировать сертификат (например, rootcert).
- Перейдите к местоположению существующего сертификата, подписанного центром сертификации. Щелкните Import.
Настройка Portal for ArcGIS для использования сертификата, подписанного центром сертификации
- Щелкните Безопасность > SSLCertificates > Обновить.
- В поле SSL-сертификат веб-сервера введите псевдоним существующего сертификата, подписанного центром сертификации.
- Щелкните Обновить.
Теперь сертификат, подписанный центром сертификации, будет использоваться для HTTPS.
Убедитесь, что вы можете войти на портал через HTTPS
Попробуйте следующий URL-адрес, чтобы убедиться, что портал доступен по протоколу HTTPS: https://portalhost.domain.com:7443/arcgis/home.