Протокол HTTPS є стандартною технологію безпеки, яка використовується для встановлення шифрованого з'єднання між веб-сервером і веб-клієнтом. HTTPS дозволяє безпечно обмінюватися даними завдяки ідентифікації і перевірки автентичності сервера, а також забезпечення конфіденційності і цілісності всіх переданих даних. Оскільки HTTPS запобігає перехоплення або злом даних, що відправляються по мережі, його необхідно використовувати з усіма механізмами реєстрації або аутентифікації, а також у всіх мережах, в яких відбувається обмін конфіденційною інформацією.
Щоб зашифрувати мережеве з'єднання між ArcGIS Web Adaptor і Portal for ArcGIS необхідно використовувати HTTPS на порту 443. Інші порти використовувати не можна. HTTPS дозволяє захистити імена, паролі та іншу важливу інформацію від дешифрування в каналі зв'язку між ArcGIS Web Adaptor і порталом. При використанні HTTPS підключення до веб-сторінок і ресурсів здійснюється по протоколу HTTPS, а не HTTP.
Необхідно отримати сертифікат SSL і зв'язати його з веб-сайтом, на якому встановлено ArcGIS Web Adaptor. Кожен веб-сервер має власну процедуру завантаження сертифіката і його прив'язки до веб-сайту.
Переконайтеся також, що на вашому веб-сервері включено ігнорування клієнтських сертифікатів, щоб доступ до захищеної служби через HTTPS здійснювався коректно.
Створіть сертифікат сервера
Для створення HTTPS-з'єднання між ArcGIS Web Adaptor і порталом, веб-серверу потрібна сертифікат сервера. Сертифікат - це цифровий файл, який містить інформацію про посвідчення веб-сервера. Він також містить метод шифрування, який використовується при створенні захищеного каналу між веб-сервером і порталом. Сертифікат повинен створюватися власником веб-сайту і мати цифровий підпис. Існує три типи сертифікатів - підписані центром сертифікації (CA), домену та самозаверенний - які описуються нижче.
Сертифікати, підписані центром сертифікації (CA)
Сертифікати, підписані центром сертифікації (CA), слід використовувати для виробничих систем, особливо якщо до розгортання Portal for ArcGIS передбачається доступ користувачів ззовні вашої організації. Наприклад, якщо портал не захищений файрволом і доступний через Інтернет, використання сертифіката, підписаного центром сертифікації (CA) гарантує користувачам поза організації, що ідентичність веб-сайту підтверджена.
Крім підпису власника сайту сертифікат може мати підпис незалежного органа, що сертифікує. Центр сертифікації зазвичай є користується довірою сторонньою організацією, яка може підтвердити справжність веб-сайту. Якщо веб-сайт є вартим довіри, центр сертифікації додає власну цифровий підпис в самозаверенний сертифікат сайту. Це говорить веб-клієнтам, що ідентичність веб-сайту перевірена.
При використанні сертифіката, виданого відомим центром захищене з'єднання між сервером і веб-клієнтом виникає автоматично, і ніяких спеціальних дій користувачеві робити не треба. Оскільки веб-сайт перевірений CA, ви не побачите попереджень або несподіваного поведінки веб-браузера.
сертифікати домену
Якщо портал знаходиться за брандмауером, і використання підписаного CA сертифікату неможливо, скористайтеся сертифікатом домену. Доменний сертифікат - це внутрішній сертифікат, підписаний CA вашої організації. Використання сертифікатів домену допомагає знизити вартість випуску сертифікатів і полегшує їх розгортання, оскільки сертифікати швидко генеруються у вашій організації для довірчого внутрішнього користування.
Користувачі, що знаходяться у вашому домені, не побачать попереджень або несподіваного поведінки веб-браузера, зазвичай пов'язаних з використанням самозаверенних сертифікатів, оскільки веб-сайт був перевірений сертифікатом домену. Однак сертифікати домену не перевіряються зовнішньої CA, це означає, що користувачі, що заходять на сайт ззовні домену, не зможуть перевірити справжність вашого сертифіката. Зовнішні користувачі побачать в веб-браузері повідомлення про відсутність довіри до сайту, користувач може вважати, що зайшов на шкідливий сайт і піти з нього.
Створіть доменний сертифікат в IIS
У Manager IIS виконайте наступні кроки, щоб створити сертифікат домену:
- На панелі Підключення виберіть ваш сервер в дереві каталогу і двічі клацніть Сертифікати сервера.
- В поле Загальна ім'я введіть повне доменне ім'я комп'ютера, наприклад, portal.domain.com.
- Заповніть інші параметри, вказавши дані вашої організації і розташування.
Останній крок - зв'язати сертифікат домену з HTTPS-портом 443. Для докладніші вказівки. Зв'язок сертифіката з веб-сайтом.
Самозаверенние сертифікати
Створення самозаверенного сертифіката не підходить для виробничого середовища, оскільки призводить до непередбачуваних результатів і незручностей в роботі для всіх користувачів порталу.
Сертифікат, підписаний тільки власником веб-сайту, називається самозаверенним сертифікатом. Самозаверенние сертифікати зазвичай використовуються на веб-сайтах, які доступні тільки користувачам внутрішньої мережі організації (LAN). Якщо веб-сайт, який використовує самозаверенний сертифікат, знаходиться поза вашої власної мережі, ви не зможете перевірити, чи дійсно сайт, який випустив сертифікат, представляє зазначену в ньому організацію. При роботі з таким сайтом ви піддаєте ризику вашу інформацію, оскільки за ним можуть стояти зловмисники.
При початковому налаштуванні порталу ви можете використовувати самозаверенний сертифікат для початкового тестування, щоб перевірити задану конфігурацію. Однак якщо ви використовуєте самозаверенний сертифікат, під час тестування ви побачите наступне:
Вище наведено частковий список проблем, які можуть виникнути при використанні самозаверенного сертифіката. Рекомендується використовувати доменний сертифікат або сертифікат, підписаний центром сертифікації (CA) для повного тестування та розгортання вашого порталу.
Створення самозаверенного сертифіката в IIS
У Manager IIS виконайте наступні кроки, щоб створити самозаверенний сертифікат:
- На панелі Підключення виберіть ваш сервер в дереві каталогу і двічі клацніть Сертифікати сервера.
Останній крок - зв'язати самозаверенний сертифікат з HTTPS-портом 443. Для докладніші вказівки. Зв'язок сертифіката з веб-сайтом.
Прив'язка сертифіката до веб-сайту
Після створення сертифіката SSL необхідно прив'язати його до веб-сайту, на якому встановлено ArcGIS Web Adaptor. Прив'язка означає процес налаштування сертифіката для використання порту 443 на веб-сайті. Інструкції по прив'язці сертифіката до веб-сайту відрізняються в залежності від платформи і версії веб-сервера. Якщо вам необхідні інструкції, зверніться до системного адміністратора або вивчіть документацію веб-сервера. Приклад кроків для прив'язки сертифіката в IIS див. Нижче.
Прив'язка сертифіката до порту 443 в IIS
У Manager IIS виконайте наступні кроки, щоб зв'язати сертифікат з HTTPS-портом 443:
- Виберіть ваш сайт в дереві каталогу і на панелі Дії клацніть Зв'язки.
- Якщо порт 443 відсутня в списку Зв'язки, клацніть Додати. У випадаючому списку Тип виберіть https. Залиште порт 443.
Перевірка вашого сайту
Додаткові відомості про використання SSL в розгортанні порталу см. В розділі Оптимальні методи захисту.