Skip To Content

Рекомендации по использованию сертификатов сервера

Все данные, отправляемые по сети, могут быть перехвачены, расшифрованы или изменены. Для обеспечения безопасности передачи данных по сети в ArcGIS Enterprise рекомендуется использовать протокол HTTPS, который применяется по умолчанию.

HTTPS шифрует передачу данных на веб-сервер и обратно. Это способствует безопасной передаче данных путем идентификации и проверки подлинности веб-сервера для каждого веб-клиента, который взаимодействует с ним. Использование HTTPS помогает обеспечить конфиденциальность и целостность всех передаваемых данных.

Для создания HTTPS-соединения между веб-сервером и клиентом веб-серверу требуется сертификат сервера. Сертификат – это цифровой файл, содержащий информацию об удостоверении веб-сервера. Он также содержит метод шифрования, который используется при создании защищенного канала между веб-сервером и клиентом. Сертификат должен создаваться владельцем веб-сайта и иметь цифровую подпись.

Esri дает несколько рекомендаций в отношении сертификатов серверов. Эти рекомендации относятся ко всем сайтам ArcGIS Server и к портала ArcGIS Enterprise, но их также следует учитывать при работе с другими компонентами развертывания.

Замените самозаверенные сертификаты на сертификаты, подписанный центром сертификации.

После установки ArcGIS Server и Portal for ArcGIS эти компоненты автоматически настраиваются с использованием самозаверенных сертификатов. Эти сертификаты, которые подписываются только владельцем веб-сайта, позволяют осуществлять связь по протоколу HTTPS без необходимости дополнительных действий. Но большинство веб-браузеров изначально не доверяют URL-адресам развертывания ArcGIS Enterprise. В результате вам и вашим пользователям придется подавлять предупреждения браузера, которые могут вызвать подозрение и тревогу.

Рекомендуется как можно скорее настроить развертывание с использованием сертификатов, подписанных сторонним центром сертификации (ЦС). Сертификаты, подписанные центром сертификации, гарантируют веб-браузерам пользователей, что вашим сайтам следует доверять. Чтобы получить такой сертификат, вы делаете запрос подписи сертификата (CSR) в центр сертификации.

Если у вас уже есть сертификат, подписанный центром сертификации, вы можете настроить ArcGIS Server с этим сертификатом, а затем импортировать его на портал.

Вы также можете запросить центр сертификации подписать самозаверенный сертификат, настроить новый сертификат с помощью ArcGIS Server, а затем импортировать его на портал.

Примечание:
Когда вы импортируете сертификат на сайт ArcGIS Server с несколькими компьютерами, убедитесь, что вы делаете это для каждого компьютера вашего сайте.

Убедитесь в наличии корневых и промежуточных сертификатов

Когда клиентское приложение проверяет сертификат, подписанный центром сертификации, оно также должно проверить сам центр сертификации. Это делается с помощью корневых и промежуточных сертификатов, которые принадлежат ЦС. Корневой сертификат устанавливает подлинность центра сертификации, а промежуточный повышает доверие к сертификатам конечного субъекта, таким как ваш. При наличие корневого и промежуточного сертификатов браузеры и клиентские приложения могут доверять тому, что ваш сертификат подписан действительным центром сертификации.

В ArcGIS Enterprise автоматически доверяет корневой и промежуточные сертификаты, подписанные многих популярных автомобилей. Если ваша организация использует пользовательский центр сертификации или у вас есть определенный промежуточный сертификат, который вы хотите добавить в свое развертывание, вы можете использовать операции importRootOrIntermediate в ArcGIS Portal Administrator Directory и в ArcGIS Server Administrator Directory.

Включите в сертификаты альтернативное имя субъекта

Некоторые браузеры, в том числе Google Chrome, не доверяют сертификатам, которые не содержат альтернативного имени субъекта (которых может быть несколько). Если ваше развертывание ArcGIS Enterprise настроено с сертификатами, которые не имеют альтернативного имени субъекта, пользователи, обращающиеся к вашим сайтам, получат предупреждение о доверии к сайту.

Сертификаты, созданные ИТ-администраторами, обычно имеют одно или несколько значений альтернативного имени субъекта, но команда Windows makecert и широко используемое приложение IIS Manager не предоставляют возможности настройки альтернативного имени субъекта. Вы должны использовать альтернативный инструмент для создания сертификатов домена, которые подписываются внутренним центром сертификации вашей организации.

Если вы создаете собственный сертификат домена в Windows, Esri предоставляет сценарий для создания сертификата домена, содержащего значения альтернативного имени субъекта. Сертификатам, созданным с помощью этого сценария PowerShell, могут доверят Chrome и другие веб-браузеры.

Понимание и устранение проблемы несоответствия имен

Поскольку ArcGIS Enterprise может быть развернут на нескольких компьютерах и потенциально в нескольких доменах или поддоменах, важно знать причину и возможное решение проблемы несоответствия имен. Она возникает, когда пользователь просматривает URL-адрес на сайте, который не соответствует общему имени или более позднему значению альтернативного имени субъекта, предоставленному сертификатом сайта. Другими словами, если сертификат, представленный веб-страницей, предоставлен для другого URL-адреса, чем тот, к которому обращается пользователь, браузер отметит ошибку.

Как и в случае с самозаверенными сертификатами, пользователи могут принять и доверять URL-адресу, несмотря на ошибку. Но эта ошибка настораживает пользователей, которые не знакомы с вашим сайтом, и вызывает неудобства при частом возникновении.

Рекомендуется сразу добавлять каждый новый домен и поддомен, используемые организацией, в качестве значений альтернативного имени субъекта в сертификат, подписанный центром сертификации. Этот упреждающий подход гарантирует, что пользователи не столкнутся с ошибками несоответствия имен.

Например, рассмотрим организацию, которая развертывает компоненты ArcGIS Enterprise в двух поддоменах, https://water.example.com и electricity.example.com. Организация использует сертификат, подписанный центром сертификации, со значениями альтернативного имени субъекта, соответствующими «water.example.com» и «electricity.example.com». Она запускает новый сайт по адресу https://recycling.example.com. ИТ-администратор должен добавить запись «recycling.example.com» в параметр альтернативного имени субъекта в сертификате сайта.

Сканирование на наличие проблем безопасности с помощью сценариев Esri

В определении общих рисков безопасности вашего развертывания ArcGIS Enterprise могут помочь предоставляемые компанией Esri скрипты, которые проверяют соответствие рекомендациям по обеспечению безопасности на сайтах портала и сервера. Скрипты serverscan.py и portalscan.py встроены в программное обеспечение и могут быть запущены в любое время. Одним из пунктов, проверяемых скриптами, является проверка использования компонентом самозаверенного сертификата.

Сканирование полезно выполнять сразу после установки каждого компонента, после обновления до новых версий и после любых существенных изменений в развертывании или в его ИТ-компонентах. Например, скрипт serverscan.py следует перезапустить, если организация недавно заменила сертификаты сервера или изменила URL-адрес сайта.