默认情况下,ArcGIS Server 强制使用 HTTPS 协议,为 web 流量创建安全的通信信道。通过 HTTPS 访问 ArcGIS Server URL 可确保网络机密性和完整性。由于通过 HTTP 发送的密码可能会被截获和窃取,在通过网络传输凭据之前,可连接到 ArcGIS Server 的 Esri 应用程序会使用 RSA 公钥加密算法对用户名和密码进行加密。
使用 HTTPS 可防止中间人攻击;在此类攻击中,恶意代理可拦截不受保护的网络通信,并将其作为与客户端和服务器通信的合法源。
可通过使用数字证书建立 HTTPS 通信。证书由证书颁发机构 (CA) 签名,以确保客户端和服务器之间的信任。ArcGIS Server 拥有自己的内部证书颁发机构,并附带默认的自签名证书,但建议您配置由外部 CA 签名的证书。这是因为大多数浏览器将警告或阻止您使用自签名证书,也就是说如果您使用自签名证书,就不得不禁用警告。您的 IT 管理员应该能够为您提供由外部 CA 签名的证书。
有关证书和使用 ArcGIS Server 进行不同证书配置的完整步骤的详细信息,请参阅关于服务器证书。
注:
ArcGIS Server 不支持通过反向代理/负载均衡器进行 SSL 卸载。如果您的配置使用反向代理,则其必须重定向到 ArcGIS Web Adaptor 或通过 HTTPS 直接重定向到 ArcGIS Server。
更改您的 HTTP 协议设置
在某些情况下,ArcGIS Server 管理员会希望放宽 HTTP 通信的默认限制。在绝大多数情况下,这将使您可以通过 HTTP 和 HTTPS 进行通信。您可通过 ArcGIS Server 管理员目录执行此操作。
- 以管理员身份登录到目录。URL 地址格式为 https://server.domain.com:6443/arcgis/admin。
- 浏览至安全性 > 配置 > 更新。
- 打开协议下拉菜单并选择所需的协议。
警告:
只有在极少数情况下,管理员才会将站点协议设置为仅 HTTP。如果您不确定其执行此项设置的原因,请将协议设置为 HTTP 和 HTTPS 或 仅 HTTPS。
- 单击更新确认。该操作将重新启动服务器。
启用 HTTP 严格传输安全
如果要在 ArcGIS Server 站点中严格强制使用 HTTPS,则可以启用 HTTP 严格传输安全 (HSTS) 标头。启用后,服务器将发送一个 Strict-Transport-Security 标题,其中包含服务器返回的所有响应;此标题将提醒收件人浏览器在标头定义的后续持续时间内严格使用针对服务器的 HTTPS 请求(默认设置期限为 1 年)。默认情况下,HSTS 处于禁用状态,但可强化使用“仅 HTTPS”协议。
要了解详细信息,请参阅强制使用严格的 HTTPS 通信。
受支持的 TLS 版本
传输层安全性 (TLS) 是一种加密协议,其可确保网络通信的安全性。ArcGIS Server 默认情况下支持 TLS 1.2 版本。您还可以启用 TLS 协议的 1.0 和 1.1 版本。有关详细信息,请参阅限制 TLS 协议和密码套件。
旧版本:
从 10.3 版本开始,因 SSL 3.0 POODLE 漏洞,不再支持安全套接字层 (SSL)。