默认情况下,ArcGIS Server 强制使用 HTTPS 协议,为 web 流量创建安全的通信信道。 通过 HTTPS 访问 ArcGIS Server URL 可确保网络机密性和完整性。 由于通过 HTTP 发送的密码可能会被截获和窃取,在通过网络传输凭据之前,可连接到 ArcGIS Server 的 Esri 应用程序会使用 RSA 公钥加密算法对用户名和密码进行加密。
使用 HTTPS 可防止中间人攻击;在此类攻击中,恶意代理可拦截不受保护的网络通信,并将其作为与客户端和服务器通信的合法源。
可通过使用数字证书建立 HTTPS 通信。 证书由证书颁发机构 (CA) 签名,以确保客户端和服务器之间的信任。 ArcGIS Server 拥有自己的内部证书颁发机构,并附带默认的自签名证书,但建议您配置由外部 CA 签名的证书。这是因为大多数浏览器将警告或阻止您使用自签名证书,也就是说如果您使用自签名证书,就不得不禁用警告。 您的 IT 管理员应该能够为您提供由外部 CA 签名的证书。
注:
ArcGIS Online 强制使用“仅 HTTPS”和 HSTS 协议。 如果在 ArcGIS Online 中使用了您 ArcGIS Server 站点中的任何服务,还请确保将服务器站点设置为强制使用“仅 HTTPS”和 HSTS。
有关证书和使用 ArcGIS Server 进行不同证书配置的完整步骤的详细信息,请参阅服务器证书。
注:
ArcGIS Server 不支持通过反向代理/负载均衡器进行 SSL 卸载。 如果您的配置使用反向代理,则其必须重定向到 ArcGIS Web Adaptor 或通过 HTTPS 直接重定向到 ArcGIS Server。
更改 HTTP 协议设置
在某些情况下,ArcGIS Server 管理员会希望放宽 HTTP 通信的默认限制。 在绝大多数情况下,这将使您可以通过 HTTP 和 HTTPS 进行通信。 您可通过 ArcGIS Server 管理员目录执行此操作。
- 以管理员身份登录到目录。
URL 地址格式为 https://server.example.com:6443/arcgis/admin。
- 浏览至安全性 > 配置 > 更新。
- 打开协议下拉菜单并选择协议。
警告:
只有在极少数情况下,管理员才会将站点协议设置为仅 HTTP。 如果您不确定其执行此项设置的原因,请将协议设置为 HTTP 和 HTTPS 或 仅 HTTPS。
- 单击更新确认。
此操作会重新启动服务器。
启用 HTTP 严格传输安全
要在 ArcGIS Server 站点中严格强制使用 HTTPS,则可以启用 HTTP 严格传输安全 (HSTS) 标头。 启用后,服务器将发送一个 Strict-Transport-Security 标题,其中包含服务器返回的所有响应;此标题将提醒收件人浏览器在标头定义的后续持续时间内严格使用针对服务器的 HTTPS 请求(默认设置期限为 1 年)。 默认情况下,HSTS 处于禁用状态,但可强制使用“仅 HTTPS”协议。
要了解详细信息,请参阅强制使用严格的 HTTPS 通信。
受支持的 TLS 版本
传输层安全性 (TLS) 是一个加密协议,能够实现安全的网络通信。 ArcGIS Server 默认支持 TLS 版本 1.2 和 1.3。 您还可以启用 TLS 协议的 1.0 和 1.1 版本。 有关详细信息,请参阅限制 TLS 协议和密码套件。