Все данные, отправляемые по сети, могут быть перехвачены, расшифрованы или изменены. Для обеспечения безопасности передачи данных по сети в ArcGIS Enterprise рекомендуется использовать протокол HTTPS, который применяется по умолчанию.
HTTPS шифрует передачу данных на веб-сервер и обратно. Это способствует безопасной передаче данных путем идентификации и проверки подлинности веб-сервера для каждого веб-клиента, который взаимодействует с ним. Использование HTTPS помогает обеспечить конфиденциальность и целостность всех передаваемых данных.
Для создания HTTPS-соединения между веб-сервером и клиентом веб-серверу требуется сертификат сервера. Сертификат – это цифровой файл, содержащий информацию об удостоверении веб-сервера. Он также содержит метод шифрования, который используется при создании защищенного канала между веб-сервером и клиентом. Сертификат должен создаваться владельцем веб-сайта и иметь цифровую подпись.
Esri дает несколько рекомендаций в отношении сертификатов серверов. Эти рекомендации относятся ко всем сайтам ArcGIS Server и к портала ArcGIS Enterprise, но их также следует учитывать при работе с другими компонентами развертывания.
Замените самозаверенные сертификаты на сертификаты, подписанный центром сертификации.
После установки ArcGIS Server и Portal for ArcGIS эти компоненты автоматически настраиваются с использованием самозаверенных сертификатов. Эти сертификаты, которые подписываются только владельцем веб-сайта, позволяют осуществлять связь по протоколу HTTPS без необходимости дополнительных действий. Но большинство веб-браузеров изначально не доверяют URL-адресам развертывания ArcGIS Enterprise. В результате вам и вашим пользователям придется подавлять предупреждения браузера, которые могут вызвать подозрение и тревогу.
Рекомендуется как можно скорее настроить развертывание с использованием сертификатов, подписанных сторонним центром сертификации (ЦС). Сертификаты, подписанные центром сертификации, гарантируют веб-браузерам пользователей, что вашим сайтам следует доверять. Чтобы получить такой сертификат, вы делаете запрос подписи сертификата (CSR) в центр сертификации.
Если у вас уже есть сертификат, подписанный центром сертификации, вы можете настроить ArcGIS Server с этим сертификатом, а затем импортировать его на портал.
Вы также можете запросить центр сертификации подписать самозаверенный сертификат, настроить новый сертификат с помощью ArcGIS Server, а затем импортировать его на портал.
Примечание:
Когда вы импортируете сертификат на сайт ArcGIS Server с несколькими компьютерами, убедитесь, что вы делаете это для каждого компьютера вашего сайте.Убедитесь в наличии корневых и промежуточных сертификатов
Когда клиентское приложение проверяет сертификат, подписанный центром сертификации, оно также должно проверить сам центр сертификации. Это делается с помощью корневых и промежуточных сертификатов, которые принадлежат ЦС. Корневой сертификат устанавливает подлинность центра сертификации, а промежуточный повышает доверие к сертификатам конечного субъекта, таким как ваш. При наличие корневого и промежуточного сертификатов браузеры и клиентские приложения могут доверять тому, что ваш сертификат подписан действительным центром сертификации.
В ArcGIS Enterprise автоматически доверяет корневой и промежуточные сертификаты, подписанные многих популярных автомобилей. Если ваша организация использует пользовательский центр сертификации или у вас есть определенный промежуточный сертификат, который вы хотите добавить в свое развертывание, вы можете использовать операции importRootOrIntermediate в ArcGIS Portal Administrator Directory и в ArcGIS Server Administrator Directory.
Включите в сертификаты альтернативное имя субъекта
Некоторые браузеры, в том числе Google Chrome, не доверяют сертификатам, которые не содержат альтернативного имени субъекта (SAN), которых может быть несколько. Если ваше развертывание ArcGIS Enterprise настроено с сертификатами, которые не имеют альтернативного имени субъекта, пользователи, обращающиеся к вашим сайтам, получат предупреждение о доверии к сайту.
Понимание и устранение проблемы несоответствия имен
Поскольку ArcGIS Enterprise может быть развернут на нескольких компьютерах и потенциально в нескольких доменах или поддоменах, важно знать причину и возможное решение проблемы несоответствия имен. Эта проблема возникает, когда пользователь переходит по URL-адресу сайта, который не совпадает с обычным именем или, с недавних пор, со значением SAN, указанным в сертификате сайта. Другими словами, если сертификат, представленный веб-страницей, предоставлен для другого URL-адреса, чем тот, к которому обращается пользователь, браузер отметит ошибку.
Как и в случае с самозаверенными сертификатами, пользователи могут признать и использовать этот URL-адрес как доверенный, несмотря на ошибку. Но эта ошибка настораживает пользователей, которые не знакомы с вашим сайтом, и вызывает неудобства при частом возникновении.
Рекомендуется сразу добавлять каждый новый домен и поддомен, используемые организацией, в качестве значений альтернативного имени субъекта в сертификат, подписанный центром сертификации. Этот упреждающий подход гарантирует, что пользователи не столкнутся с ошибками несоответствия имен.
Например, рассмотрим организацию, которая развертывает компоненты ArcGIS Enterprise в двух поддоменах, https://water.example.com и electricity.example.com. Эта организация использует сертификат, подписанный центром сертификации, со значениями SAN, которые совпадают с “water.example.com” и “electricity.example.com.” Она запускает новый сайт по адресу https://recycling.example.com. ИТ-администратор должен добавить запись «recycling.example.com» в параметр альтернативного имени субъекта в сертификате сайта.
Сканирование на наличие проблем безопасности с помощью скриптов Esri
Чтобы помочь вам выявить распространенные угрозы безопасности в развертывании ArcGIS Enterprise, Esriпредлагает скрипты, с помощью которых можно проверить, соблюдаются ли на сайтах портала и на сервере принципы безопасности. Скрипты serverscan.py и portalscan.py встроены в программное обеспечение, и их можно использовать в любое время. Одним из пунктов, проверяемых скриптами, является проверка использования компонентом самозаверенного сертификата.
Сканирование полезно выполнять сразу после установки каждого компонента, после обновления до новых версий и после любых существенных изменений в развертывании или в его ИТ-компонентах. Например, скрипт serverscan.py следует перезапустить, если организация недавно заменила сертификаты сервера или изменила URL-адрес сайта.