HTTPS – это средство шифрования данных в и из веб-сервера. HTTPS также позволяет клиентскому приложению подтверждать подлинность веб-сервера. При использовании HTTPS каждый веб-сервер, где включен HTTPS, должен отсылать сертификат клиентам. Сертификат содержит утверждение подлинности (gis.mycity.gov) и публичный ключ, который клиент может использовать для отправки зашифрованной информации на этот веб-сервер.
Portal for ArcGIS часто передает информацию, которая требует шифрования, поэтому на портале всегда включен HTTPS. Рекомендуется, чтобы используемый сертификат был подписан корпоративным (внутренним) или коммерческим центром сертификации (CA). Сам портал включает самозаверенный сертификат. Самозаверенный сертификат означает, что клиент не может проверить подлинность сервера. Замена самозаверенного сертификата на сертификат, подписанный центром сертификации (CA), повышает безопасность вашего развертывания.
Существуют два способа использования в портале сертификата центра сертификации (CA):
- Создать новый сертификат, подписанный центром сертификации - Создает запрос на подпись сертификата (CSR), подпишите его в своем центре сертификации (CA) и импортируйте на портал.
- Использование существующего сертификата, подписанного центром сертификации – если у вас уже имеется существующий сертификат, подписанный центром сертификации и присвоенный компьютеру, на котором размещен портал, импортируйте его в портал.
Примечание:
Эти рабочие процессы применяются только для коммуникации по протоколу HTTPS с Portal for ArcGIS по порту 7443. Для создания или импорта подписанного CA-сертификата для веб-адаптера, обратитесь к документации веб-сервера, на котором установлен веб-адаптер.
Пошаговые инструкции с описанием этих операций см. в разделах ниже по тексту.
Создание нового сертификата, подписанного центром сертификации (CA)
Включить HTTPS можно с помощью нового сертификата, подписанного корпоративным (внутренним) или коммерческим центром сертификации. Необходимо выполнить следующие действия:
Создание нового сертификата
Чтобы создать новый сертификат, выполните следующие шаги:
- Войдите в Portal Administrator Directory в качестве администратора вашей организации. URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Щелкните Безопасность > SSLCertificates > Создать.
Примечание:
Если используется отказоустойчивый портал, необходимо вместо этого перейти в Компьютеры > [machine] > SSLCertificates > Создать, а затем повторить следующие шаги для каждого компьютера портала. - На странице Создание сертификата введите следующую информацию:
- Псевдоним - уникальное имя для идентификации сертификата (например, portalcert).
- Алгоритм ключа – RSA (по умолчанию) или DSA.
- Размер ключа – задает размер (в битах), который используется при формировании криптографических ключей, которые используются для создания сертификата. Чем больше размер ключа, тем труднее взломать шифр, однако при этом возрастает время расшифровки данных. Для RSA рекомендуется использовать размер 2048 или больше. Для DSA размер ключа составляет от 512 до 1024.
- Алгоритм подписи – используйте по умолчанию (SHA256withRSA). Если в организации имеются особые ограничения, связанные с безопасностью, то с DSA можно использовать один из следующих алгоритмов: SHA384withRSA, SHA512withRSA, SHA1withRSA, или SHA1withDSA.
- Общее имя - Это поле является дополнительным и используется для обратной совместимости с устаревшими веб-браузерами и программным обеспечением. Рекомендуется использовать полное доменное имя для компьютера вашего портала в качестве обычного имени.
- Подразделение организации – Название подразделения, которое будет понятным для пользователя сайта (например, GIS Department).
- Организация – Название вашей организации (например, Esri).
- Город или регион – Название вашего города или региона (например, Redlands).
- Штат или провинция – Название вашего штата или провинции (например, California).
- Код страны – Двухбуквенный код страны нахождения вашей организации (например, US).
- Срок действия – Количество дней до истечения срока действия данного сертификата (например, 365).
- Альтернативное имя субъекта - Альтернативное имя субъекта (SAN) используется для проверки того, что сертификат SSL, предоставляемый веб-сайтом, был выдан именно для этого веб-сайта.
Если параметр слева не заполнен, по умолчанию используется полное доменное имя локального компьютера. Поле SAN поддерживает множественные значения; но оно должно содержать полное доменное имя веб-сайта. Значение параметра SAN не может содержать пробелов.
С помощью SAN сертификат позволяет использовать различные URL-адреса для доступа к одному и тому же веб-сайту. Например, URL-адреса https://www.esri.com, https://esri и https://10.60.1.16 могут использоваться для доступа к одному и тому же сайту, если сертификат SSL создан с применением следующих значений параметров:
CN=www.esri.com
SAN=DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- Щелкните Создать. Ссылка на ваш сертификат появится на странице сертификатов.
Обращение в центр сертификации с запросом на подпись сертификата
Чтобы веб-браузеры считали сертификат доверенным, он должен быть проверен и подписан центром сертификации (CA), например вашей организацией, Verisign или Thawte.
- На странице сертификатов щелкните по имени своего сертификата.
- Щелкните GenerateCSR. На странице Generate CSR скопируйте содержание CSR и вставьте его в файл. Сохраните этот файл с расширением .csr (например, portalcert.csr).
- Отправьте CSR в центр сертификации (CA). Рекомендуется получить сертификат с кодировкой Distinguished Encoding Rules (DER) или Base64. Если CA запрашивает тип веб-сервера, для которого готовится сертификат, укажите Other\Unknown или Java Application Server. После подтверждения вашей личности, центр сертификации (CA) отправит вам файл с расширением .crt или .cer.
- Сохраните подписанный сертификат, полученный из центра сертификации, на компьютере портала. Помимо подписанного сертификата центр сертификации также издает корневой сертификат. Сохраните корневой сертификат центра сертификации на компьютере портала.
- Войдите в Portal Administrator Directory в качестве администратора вашей организации. URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Щелкните Безопасность > SSLCertificates > Импортировать корневой или промежуточный сертификат.
Примечание:
Если используется отказоустойчивый портал, необходимо вместо этого перейти в Компьютеры > [machine] > SSLCertificates > Импортировать корневой или промежуточный сертификат, а затем повторить следующие шаги для каждого компьютера портала. - Перейдите в местоположение, где находится корневой сертификат, полученный из центра сертификации (CA) и щелкните Импорт. Если центр сертификации (CA) выдал дополнительные промежуточные сертификаты, импортируйте их тоже. Portal for ArcGIS будет автоматически перезапущен для каждого импортированного сертификата. Не импортируйте подписанный сертификат.
- Вернитесь на страницу SSLCertificates.
- Щелкните имя сертификата, который вы создали в предыдущем разделе (например, portalcert).
- Щелкните Импортировать подписанный сертификат и перейдите к местоположению, где находится подписанный сертификат, полученный из центра сертификации.
- Щёлкните Импорт. Сертификат, созданный вами в предыдущем подразделе, будет заменен на сертификат, подписанный центром сертификации.
Настройте Portal for ArcGIS на использование сертификата, подписанного центром сертификации (CA).
Чтобы настроить Portal for ArcGIS на использование сертификата, подписанного центром сертификации (CA), выполните следующие шаги:
- Войдите в Portal Administrator Directory в качестве администратора вашей организации. URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Щелкните Безопасность > SSLCertificates > Обновить.
Примечание:
Если используется отказоустойчивый портал, необходимо вместо этого перейти в Компьютеры > [machine] > SSLCertificates > Обновить, а затем повторить следующие шаги для каждого компьютера портала. - В поле SSL-сертификат веб-сервера введите псевдоним сертификата, подписанного центром сертификации. Псевдоним, который вы указываете, должен совпадать с псевдонимом сертификата, который в предыдущем подразделе был заменен на сертификат, подписанный центром сертификации.
- Щелкните Обновить.
Сертификат, подписанный центром сертификации, не будет использоваться для HTTPS.
Убедитесь, что вы можете войти на портал через HTTPS
Проверьте следующий URL-адрес, чтобы убедиться, что портал доступен по протоколу HTTPS: https://portalhost.domain.com:7443/arcgis/home.
Использование существующего сертификата, подписанного центром сертификации
Если у вас уже есть сертификат, изданный корпоративным (внутренним) или коммерческим центром сертификации (CA), вы можете использовать его для включения HTTPS.
Импорт существующего сертификата, подписанного центром сертификации
Внимание:
Чтобы импортировать сертификат на свой портал, сертификат и его ключ должны храниться в формате PKCS#12, который выглядит как файл с расширением .p12 или .pfx.
- Войдите в Portal Administrator Directory в качестве администратора вашей организации. URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Щелкните Безопасность > SSLCertificates > Импортировать существующий сертификат сервера.
Примечание:
Если ваш портал высокой доступности, вам следует вместо этого перейти к Компьютеры > [machine] > SSLCertificates > Импортировать существующий сертификат сервера, а затем повторить следующие шаги для каждого компьютера портала. - На странице Импортировать существующий сертификат сервера укажите следующую информацию:
- Пароль сертификата – введите пароль для разблокировки файла, содержащего сертификат.
- Псевдоним – Введите уникальное имя, которое позволяет легко идентифицировать сертификат (например, rootcert).
- Файл — перейдите к местоположению и выберите существующий сертификат, подписанный центром сертификации.
- Импортировать цепочку сертификатов - Если этот параметр выбран, любые корневые или промежуточные сертификаты, включенные в файл .pfx или .p12, также будут импортированы. Псевдоним этих сертификатов будет соответствовать псевдониму, введенному выше, и добавляется к _root или _intermediate, в зависимости от типа сертификата.
- Щёлкните Импорт.
Импорт корневого сертификата центра сертификации
После импорта существующего сертификата, подписанного центром сертификации, корневой и промежуточный сертификаты, возможно, уже были импортированы. Они будут перечислены в разделе Безопасность > SSLCertificates.
Если они не были импортированы или необходим дополнительный корневой или промежуточный сертификат, выполните следующие действия:
- Щелкните Безопасность > SSLCertificates > Импортировать корневой или промежуточный сертификат.
Примечание:
Если используется отказоустойчивый портал, необходимо вместо этого перейти в Компьютеры > [machine] > SSLCertificates > Импортировать корневой или промежуточный сертификат, а затем повторить следующие шаги для каждого компьютера портала. - Перейдите в местоположение, где находится корневой сертификат, полученный из центра сертификации (CA) и щелкните Импорт. Если центр сертификации (CA) выдал дополнительные промежуточные сертификаты, импортируйте их тоже. Не импортируйте сертификат, подписанный центром сертификации.
- Перезапустите сервис Portal for ArcGIS.
Настройте Portal for ArcGIS на использование сертификата, подписанного центром сертификации (CA).
Чтобы настроить Portal for ArcGIS на использование сертификата, подписанного центром сертификации (CA), выполните следующие шаги:
- Щелкните Безопасность > SSLCertificates > Обновить.
Примечание:
Если используется отказоустойчивый портал, необходимо вместо этого перейти в Компьютеры > [machine] > SSLCertificates > Обновить, а затем повторить следующие шаги для каждого компьютера портала. - В поле SSL-сертификат веб-сервера введите псевдоним существующего сертификата, подписанного центром сертификации.
- Щелкните Обновить.
Существующий сертификат, подписанный центром сертификации (CA), будет использоваться для HTTPS.
Убедитесь, что вы можете войти на портал через HTTPS
Проверьте следующий URL-адрес, чтобы убедиться, что портал доступен по протоколу HTTPS: https://portalhost.domain.com:7443/arcgis/home.