Habilitar SSL utilizando un nuevo certificado firmado por una autoridad certificadora

Este tutorial muestra cómo puede habilitar SSL para ArcGIS Server mediante un certificado firmada por una autoridad certificadora (CA). Los pasos para habilitar SSL mediante un certificado emitido por una autoridad certificadora son:

Crear un nuevo certificado autofirmado

Pasos:
  1. Inicie sesión en el Directorio del administrador de ArcGIS Server: http://gisserver.domain.com:6080/arcgis/admin.
  2. Vaya hasta equipos > [ nombre de la máquina] > sslcertificates.
  3. Haga clic en generar.
  4. Introduzca los valores para los parámetros en esta página:

    opción

    Descripción

    Alias

    Un nombre único que identifica fácilmente el certificado.

    Algoritmo de clave

    Utilizar RSA (el valor predeterminado) o DSA.

    Tamaño de clave

    Especifica el tamaño en bits para utilizar cuando se generan las claves criptográficos que se utilizan para crear el certificado. Cuanto mayor sea el tamaño de la clave, más difícil será descifrarla; sin embargo, el tiempo para descifrar datos cifrados aumenta con el tamaño de la clave. Para DSA, el tamaño de la clave puede estar comprendido entre 512 y 1.024. Para RSA, el tamaño recomendado para la clave es 2.048 o superior.

    Algoritmo de firma

    Utilice el valor predeterminado (SHA1withRSA). Si su organización tiene restricciones de seguridad específicas, puede usar uno de los siguientes algoritmos para DSA: SHA256withRSA, SHA384withRSA, SHA512withRSA, SHA1withDSA.

    Nombre común

    Utilizar el nombre de dominio del nombre de su servidor como el nombre común.

    Si se va a acceder a su servidor en Internet a través de la URL https://www.gisserver.com:6443/arcgis/, utilice www.gisserver.com como nombre común.

    Si a su servidor solo se va a acceder en la red de área local (LAN) a través de la URL https://gisserver.domain.com:6443/arcgis, utilice gisserver como nombre común.

    Unidad organizacional

    El nombre de su unidad organizacional, por ejemplo, Departamento de SIG.

    Organización

    El nombre de su organización, por ejemplo, Esri.

    Ciudad o localidad

    El nombre de la ciudad o localidad, por ejemplo, Redlands.

    Estado o provincia

    El nombre completo de su estado o provincia, por ejemplo, California.

    Código de país

    El código abreviado de su país, por ejemplo, US.

    Validez

    El tiempo total en días durante el cual este certificado será válido, por ejemplo, 365.

    Nombre alternativo de sujeto

    El nombre alternativo de sujeto (SAN) es un parámetro opcional que define alternativas al nombre común (CN) especificado en el certificado SSL. Si no se define ningún SAN, solo es posible acceder a un sitio web (sin errores de certificado SSL) utilizando el nombre común en la URL. Utilizando SAN, un certificado SSL permite usar distintas URL para acceder a un mismo sitio web. Por ejemplo, las URL https://www.esri.com, https://esri y https://10.60.1.16 se pueden usar para acceder al mismo sitio si el certificado SSL se crea utilizando los valores siguientes de los parámetros:

    CN=www.esri.com

    SAN=DNS:esri, IP:10.60.1.16

  5. Haga clic en Generar para generar el certificado.

Solicitar a una autoridad certificadora a firmar su certificado

Para que los navegadores Web acepten su certificado como un certificado de confianza, debe ser verificado y corroborado por una autoridad de certificación como Verisign o Thawte.

Pasos:
  1. Abra el certificado autofirmado que ha creado en la sección anterior y haga clic en generateCSR. Copiar el contenido en un archivo, por lo general con una extensión *. csr.
  2. Presentar la RSE a una entidad de su elección. Puede obtener un certificado Distinguished Encoding Rules (DER) o codificado en base 64. Si la CA solicita el tipo de servidor web al cual está destinado el certificado, especifique Otro/Desconocido o Servidor de aplicaciones Java. Después de verificar su identidad, se le enviará un archivo *. crt o *. cer .
  3. Guardar el certificado firmado recibido de la autoridad certificadora en una ubicación en su equipo. Además del certificado firmado, la autoridad certificadora expedirá un certificado raíz. Guardar la autoridad certificadora de certificados raíz de su equipo.
  4. Inicie sesión en el Directorio del administrador de ArcGIS Server: http://gisserver.domain.com:6080/arcgis/admin.
  5. Haga clic en máquinas > [nombre del equipo] > sslcertificates > importRootOrIntermediate para importar el certificado raíz proporcionado por la autoridad certificadora. Si la autoridad certificadora ha emitido otros certificados intermedios, impórtelos también.
  6. Vaya hasta equipos > [ nombre de la máquina] > sslcertificates.
  7. Haga clic en el nombre del certificado autofirmado que envió a la autoridad certificadora.
  8. Haga clic en importSignedCertificate y vaya hasta la ubicación donde se guardó el certificado firmado recibido de la autoridad certificadora.
  9. Haz clic en Enviar. Esto reemplaza el certificado autofirmado que creó en la sección anterior por el certificado emitido por la autoridad certificadora.

Configurar ArcGIS Server para que utilice el certificado firmado por una autoridad certificadora

NotaNota:

Los puntos de distribución de CRL (CDP) definidos en el certificado firmado por la CA deben ser válidos y estar accesibles desde el equipo o los equipos donde se aloje ArcGIS Server. Si el CDP definido en el certificado SSL no es válido o está inaccesible debido a la falta de acceso a Internet, o a la configuración de la red o el firewall, la publicación en ArcGIS for Desktop dará lugar a un error. Para evitar este problema, siga los pasos que se describen en el problema No puedo publicar un servicio en un sitio con ArcGIS Server que utiliza un certificado de SSL emitido por una CA en el tema Problemas y soluciones comunes.

Pasos:
  1. Inicie sesión en el Directorio del administrador de ArcGIS Server: http://gisserver.domain.com:6080/arcgis/admin.
  2. Vaya hasta equipos > [nombre del equipo].
  3. Haga clic en editar.
  4. Escriba el nombre del certificado firmado en el campo Certificado SSL de servidor web. El nombre especificado debe coincidir con el alias del certificado autofirmado que se reemplazó por el certificado firmado por la autoridad certificadora en la sección anterior.
  5. Haga clic en Guardar modificaciones para aplicar los cambios.
  6. En la página actual, vea la propiedad servidor Web certificado SSL para verificar que se utilizará el certificado SSL deseado para SSL.

Configure cada servidor SIG en su implementación

Si tiene una implementación de ArcGIS Server con varios equipos, debe obtener y configurar un certificado firmado por una autoridad certificadora para cada servidor SIG que participe en su sitio.

Importar el certificado raíz de la autoridad certificadora en el almacén de certificados de Windows

Si el certificado raíz de la autoridad certificadora no está presente en el almacén de certificados de Windows, se deberá importar.

Pasos:
  1. Inicie sesión en un equipo donde esté alojado ArcGIS Server.
  2. Copie el certificado firmado recibido de la autoridad certificadora en un lugar de este equipo.
  3. Abra este certificado y haga clic en la pestaña Ruta del certificado. Si el Estado del certificado es Certificado válido, el certificado raíz de la autoridad certificadora está presente en el almacén de certificados de Windows y no es necesario importarlo. Omita el paso 9.
  4. Copie el certificado raíz de la autoridad certificadora en un lugar de este equipo.
  5. Abra el Administrador de certificados. Para ello, haga clic en el botón Inicio, escriba certmgr.msc en el cuadro de búsqueda y pulse la tecla Intro.
  6. En la ventana Administrador de certificados, haga clic en Entidades de certificación raíz de confianza y, a continuación, haga clic en Certificados.
  7. En el menú superior, haga clic en Acción y seleccione Todas las tareas > Importar.
  8. En el cuadro de diálogo Asistente para la importación de certificados, haga clic en Siguiente y, a continuación, siga las instrucciones del asistente para importar el certificado raíz de la autoridad certificadora.
  9. Repita los pasos del 1 al 8 con cada servidor SIG del sitio.
  10. Reinicie todos los servidores SIG del sitio.

Habilitar SSL para su sitio

Pasos:
  1. Inicie sesión en el Directorio del administrador de ArcGIS Server en http://gisserver.domain.com:6080/arcgis/admin.
  2. Acceda a seguridad > config > actualizar.
  3. Para el parámetro Protocolo, elija la opción HTTP y HTTPS y haga clic en Actualizar. De este modo se reiniciará automáticamente su sitio de ArcGIS Server.
  4. Una vez reiniciado su sitio, verifique que puede acceder a la URL https://gisserver.domain.com:6443/arcgis/admin. Si no obtiene respuesta de esta dirección URL, la razón es que ArcGIS Server no ha podido usar el certificado SSL especificado. Compruebe su certificado SSL y configure ArcGIS Server para usar un certificado SSL nuevo o diferente.
  5. Si puede acceder a la URL https://gisserver.domain.com:6443/arcgis/admin, acceda a seguridad > config > actualizar.
  6. Para el parámetro Protocolo, elija la opción Solo HTTPS y haga clic en Actualizar.
NotaNota:

Web Adaptor tarda un minuto en detectar los cambios del protocolo de comunicación del sitio.

HerenciaHerencia:

En versiones anteriores era necesario volver a configurar ArcGIS Web Adaptor después de actualizar el protocolo de comunicación de ArcGIS Server. En la versión 10.2.2, ya no es necesario.

Acceda a su sitio utilizando SSL

Una vez que haya configurado SSL, ArcGIS Server escucha las solicitudes HTTPS en el puerto 6443. Utilice las direcciones URL por debajo de forma segura el acceso a ArcGIS Server:

ArcGIS Server Manager

https://gisserver.domain.com:6443/arcgis/manager

Directorio de servicios de ArcGIS Server

https://gisserver.domain.com:6443/arcgis/rest/services

NotaNota:

Si renombra ArcGIS Server estando habilitado SSL, puede continuar accediendo a ArcGIS Server usando SSL; sin embargo, debe generar un nuevo certificado SSL y configurar ArcGIS Server para usarlo.

5/12/2014