HTTPS 协议是一项标准安全技术,用于在 Web 服务器与 Web 客户端之间建立加密连接。HTTPS 通过对服务器进行识别和验证以及确保所有传输数据的隐私和完整性来实现安全网络通信。由于 HTTPS 可防止窃听或篡改通过网络发送的信息,所以应对任何登录或身份验证机制以及任何包含保密信息或私有信息的网络通信应用 HTTPS。
要加密 ArcGIS Web Adaptor 和 Portal for ArcGIS 之间的通信,必须使用 HTTPS。由此确保名称、密码及其他敏感信息在 ArcGIS Web Adaptor 和门户之间发送时不会被解密。使用 HTTPS 时,将使用 HTTPS 协议替代 HTTP 协议来连接 web 页面和资源。
注:
使用默认 HTTPS 端口 443 适用于大多数用户。在极少数情况下,由于组织特定原因,ArcGIS Web Adaptor 实例无法在其 web 服务器上使用端口 443。如果您的组织存在上述问题,请参阅使用门户 ArcGIS Web Adaptor 的非默认端口,其中详细介绍了配置解决方法的步骤。
您需要获取服务器证书,并将其绑定到托管 ArcGIS Web Adaptor 的网站。每个 Web 服务器都有自己的程序用于加载证书并将其绑定到网站。
此外,还要确保 web 服务器已设置为忽略客户端证书,以便通过 HTTPS 正确访问安全服务。
创建服务器证书
要能够在 ArcGIS Web Adaptor 和门户之间创建 HTTPS 连接,Web 服务器需要服务器证书。证书是一个数字文件,包含有关 Web 服务器标识的信息。它还包含建立 Web 服务器和门户之间的安全通道时要使用的加密方法。证书必须由网站和数字签名的所有者创建。下面将介绍三种类型的证书 - CA 签名证书、域证书以及自签名证书。
CA 签名证书
证书颁发机构 (CA) 签名证书可用于生产系统,特别是用于组织外的用户访问 ArcGIS Enterprise 门户部署。例如,如果门户未设置防火墙保护且可经由 Internet 对其进行访问,则使用 CA 签名证书可向来自组织外部的客户端确保网站身份已进行过安全验证。
除了由网站所有者签名以外,证书还可由独立的 CA 进行签名。CA 通常是一个受信任的第三方机构,可用于证实网站的真实性。如果网站值得信任,CA 会将其自己的数字签名添加到该网站的自签名证书。这可确保网站标识已经验证过的 Web 客户端。
使用由著名 CA 颁发的证书时,服务器和 Web 客户端之间的安全通信将自动进行而无需用户执行任何特殊操作。由于网站已由 CA 进行安全验证,因此 Web 浏览器中不会显示任何异常行为或警告消息。
域证书
如果门户已设置防火墙保护且无法使用 CA 签名证书,则使用域证书为可行的解决方案。域证书是由组织的证书颁发机构签名的内部证书。使用域证书有助于降低颁发证书的成本以及简化证书部署,因为证书可在组织内针对受信任的内部使用快速生成。
域内用户通常不会收到与自签名证书相关的异常行为或警告消息,因为网站已由域证书进行过安全验证。但是,域证书并不是由外部 CA 进行验证,即访问站点的域外用户无法验证证书是否真的如所宣称那样代表某一方。外部用户将看到有关站点不受信任的浏览器警告,这可能导致用户认为正与恶意方进行通信从而退出您的站点。
创建域证书并启用 HTTPS
成功完成 ArcGIS Enterprise 配置向导,需要在安装了基础部署的计算机上的 IIS 中启用 HTTPS。
如果未启用 HTTPS,则配置向导将无法完成并报告如下错误消息:
无法访问 Web Adaptor URL https://mymachine.mydomain.com/server。请检查您的 web 服务器是否启用了 HTTPS。有关启用 HTTPS 的说明,请导航至“帮助主题”:ArcGIS Enterprise 简介 > ArcGIS Enterprise Builder > 规划基础部署。
注:
在大多数情况下,IT 管理员会为您提供证书,并将其绑定到 HTTPS 端口 443。
从 2017 年开始,Chrome 仅信任具有主题备选名称 (SAN) 参数的证书,在 IIS 管理器应用程序中创建证书时无法对该参数进行配置。
如果您正在使用 IIS 且需要创建域证书,请参阅创建域证书,它提供了一个在机器上运行的脚本,该脚本会创建相应的证书并将其绑定到 HTTPS 端口 443。
自签名证书
创建自签名证书不应被视作生产环境的有效选项,因为这将导致异常结果以及所有门户用户的不良用户体验。
仅由网站所有者签名的证书称为自签名证书。自签名证书通常用于仅对组织内部 (LAN) 网络上的用户可用的网站上。如果与外部网络中的使用自签名证书的网站进行通信,您将无法验证颁发证书的站点是否确实代表其声称代表的一方。您可能实际上正与恶意方进行通信,使您的信息处于危险之中。
首次设置门户时,可能会使用自签名证书进行初步测试,以帮助您快速验证是否配置成功。但是,如果使用自签名证书,请注意在测试期间将遇到如下状况:
- 有关不受信任站点的 Web 浏览器和 ArcGIS Desktop 警告。通常,Web 浏览器遇到自签名证书时将显示警告消息并要求您确认是否继续前往该站点。只要您使用自签名证书,许多浏览器就会显示警告图标或对地址栏标红。如果使用自签名证书配置门户,那么您就能够看到这些类型的警告。
- 无法在 Map Viewer 中打开联合服务、无法将受保护的服务项添加到门户、无法在联合服务器中登录到 ArcGIS Server Manager 以及无法从 Esri Maps for Office 连接到门户。
- 打印托管服务以及从客户端应用程序中访问门户时出现异常行为。
- 无法从 Esri Maps for Office 登录至门户,除非在运行 Esri Maps for Office 的计算机上将自签名证书安装到受信任根证书颁发机构证书库。
警告:
以上使用自签名证书时将遇到的问题列表并不详尽。建议使用域证书或 CA 签名证书全面测试和部署门户。
将证书绑定到网站
在创建了自签名证书后,需要将其绑定到托管 ArcGIS Web Adaptor 的网站。绑定可参考配置证书以在网站上使用端口 443 的过程。
注:
创建域证书主题中的脚本将为您绑定证书。
将证书与网站绑定的说明根据平台和 Web 服务器版本会有所不同。有关说明信息,请咨询系统管理员或参阅 Web 服务器的文档。例如,在 IIS 中绑定证书的步骤如下。
- 在树视图和操作 窗格中选择您的站点,然后单击绑定。
- 如果绑定列表中的端口 443 不可用,请单击添加。从类型下拉列表中选择 https。将端口设置为 443。
- 如果端口 443 已列出,请从该列表中选择此端口并单击编辑。
- 从证书下拉列表中选择您的证书名称,然后单击确定。
测试站点
获取或创建绑定到端口 443 的证书后,即可配置 Web Adaptor 以与门户配合使用。您需要使用 HTTPS URL (如 https://webadaptorhost.domain.com/webadaptorname/webadaptor) 访问 ArcGIS Web Adaptor 的配置页面。
配置 Web Adaptor 后,应通过向门户网站发出 HTTPS 请求来测试 HTTPS 是否工作正常,如 https://webadaptorhost.domain.com/webadaptorname/home。若要使用自签名证书进行测试,则忽略浏览器有关连接不受信的警告。通常,此操作涉及向浏览器添加例外情况,因此允许您与使用自签名证书的站点进行通信。
要了解有关在门户部署中使用 SSL 的详细信息,请参阅安全性最佳做法。