Skip To Content

Рекомендации по использованию сертификатов сервера

Все данные, отправляемые по сети, могут быть перехвачены, расшифрованы или изменены. Для обеспечения безопасности передачи данных по сети в ArcGIS Enterprise рекомендуется использовать протокол HTTPS, который применяется по умолчанию.

HTTPS шифрует передачу данных на веб-сервер и обратно. Это способствует безопасной передаче данных путем идентификации и проверки подлинности веб-сервера для каждого веб-клиента, который взаимодействует с ним. Использование HTTPS помогает обеспечить конфиденциальность и целостность всех передаваемых данных.

Для создания HTTPS-соединения между веб-сервером и клиентом веб-серверу требуется сертификат сервера. Сертификат – это цифровой файл, содержащий информацию об удостоверении веб-сервера. Он также содержит метод шифрования, который используется при создании защищенного канала между веб-сервером и клиентом. Сертификат должен создаваться владельцем веб-сайта и иметь цифровую подпись.

Esri дает несколько рекомендаций в отношении сертификатов серверов. Эти рекомендации относятся ко всем сайтам ArcGIS Server и к портала ArcGIS Enterprise, но их также следует учитывать при работе с другими компонентами развертывания.

Замените самозаверенные сертификаты на сертификаты, подписанный центром сертификации.

После установки ArcGIS Server и Portal for ArcGIS эти компоненты автоматически настраиваются с использованием самозаверенных сертификатов. Эти сертификаты, которые подписываются только владельцем веб-сайта, позволяют осуществлять связь по протоколу HTTPS без необходимости дополнительных действий. Но большинство веб-браузеров изначально не доверяют URL-адресам развертывания ArcGIS Enterprise. В результате вам и вашим пользователям придется подавлять предупреждения браузера, которые могут вызвать подозрение и тревогу.

Рекомендуется как можно скорее настроить развертывание с использованием сертификатов, подписанных сторонним центром сертификации (ЦС). Сертификаты, подписанные центром сертификации, гарантируют веб-браузерам пользователей, что вашим сайтам следует доверять. Чтобы получить такой сертификат, вы делаете запрос подписи сертификата (CSR) в центр сертификации.

Если у вас уже есть сертификат, подписанный центром сертификации, вы можете настроить ArcGIS Server с этим сертификатом, а затем импортировать его на портал.

Вы также можете запросить центр сертификации подписать самозаверенный сертификат, настроить новый сертификат с помощью ArcGIS Server, а затем импортировать его на портал.

Примечание:
Когда вы импортируете сертификат на сайт ArcGIS Server с несколькими компьютерами, убедитесь, что вы делаете это для каждого компьютера вашего сайте.

Убедитесь в наличии корневых и промежуточных сертификатов

Когда клиентское приложение проверяет сертификат, подписанный центром сертификации, оно также должно проверить сам центр сертификации. Это делается с помощью корневых и промежуточных сертификатов, которые принадлежат ЦС. Корневой сертификат устанавливает подлинность центра сертификации, а промежуточный повышает доверие к сертификатам конечного субъекта, таким как ваш. При наличие корневого и промежуточного сертификатов браузеры и клиентские приложения могут доверять тому, что ваш сертификат подписан действительным центром сертификации.

В ArcGIS Enterprise автоматически доверяет корневой и промежуточные сертификаты, подписанные многих популярных автомобилей. Если ваша организация использует пользовательский центр сертификации или у вас есть определенный промежуточный сертификат, который вы хотите добавить в свое развертывание, вы можете использовать операции importRootOrIntermediate в ArcGIS Portal Administrator Directory и в ArcGIS Server Administrator Directory.

Включите в сертификаты альтернативное имя субъекта

Некоторые браузеры, в том числе Google Chrome, не доверяют сертификатам, которые не содержат альтернативного имени субъекта (которых может быть несколько). Если ваше развертывание ArcGIS Enterprise настроено с сертификатами, которые не имеют альтернативного имени субъекта, пользователи, обращающиеся к вашим сайтам, получат предупреждение о доверии к сайту.

Понимание и устранение проблемы несоответствия имен

Поскольку ArcGIS Enterprise может быть развернут на нескольких компьютерах и потенциально в нескольких доменах или поддоменах, важно знать причину и возможное решение проблемы несоответствия имен. Она возникает, когда пользователь просматривает URL-адрес на сайте, который не соответствует общему имени или более позднему значению альтернативного имени субъекта, предоставленному сертификатом сайта. Другими словами, если сертификат, представленный веб-страницей, предоставлен для другого URL-адреса, чем тот, к которому обращается пользователь, браузер отметит ошибку.

Как и в случае с самозаверенными сертификатами, пользователи могут принять и доверять URL-адресу, несмотря на ошибку. Но эта ошибка настораживает пользователей, которые не знакомы с вашим сайтом, и вызывает неудобства при частом возникновении.

Рекомендуется сразу добавлять каждый новый домен и поддомен, используемые организацией, в качестве значений альтернативного имени субъекта в сертификат, подписанный центром сертификации. Этот упреждающий подход гарантирует, что пользователи не столкнутся с ошибками несоответствия имен.

Например, рассмотрим организацию, которая развертывает компоненты ArcGIS Enterprise в двух поддоменах, https://water.example.com и electricity.example.com. Организация использует сертификат, подписанный центром сертификации, со значениями альтернативного имени субъекта, соответствующими «water.example.com» и «electricity.example.com». Она запускает новый сайт по адресу https://recycling.example.com. ИТ-администратор должен добавить запись «recycling.example.com» в параметр альтернативного имени субъекта в сертификате сайта.

Сканирование на наличие проблем безопасности с помощью сценариев Esri

В определении общих рисков безопасности вашего развертывания ArcGIS Enterprise могут помочь предоставляемые компанией Esri скрипты, которые проверяют соответствие рекомендациям по обеспечению безопасности на сайтах портала и сервера. Скрипты serverscan.py и portalscan.py встроены в программное обеспечение и могут быть запущены в любое время. Одним из пунктов, проверяемых скриптами, является проверка использования компонентом самозаверенного сертификата.

Сканирование полезно выполнять сразу после установки каждого компонента, после обновления до новых версий и после любых существенных изменений в развертывании или в его ИТ-компонентах. Например, скрипт serverscan.py следует перезапустить, если организация недавно заменила сертификаты сервера или изменила URL-адрес сайта.