Activation de SSL sur votre serveur Web

Le protocole SSL est une technologie de sécurité standard qui permet d'établir une liaison chiffrée entre un serveur Web et un client Web. SSL facilite la sécurisation des communications sur le réseau en identifiant et en authentifiant le serveur, ainsi que la confidentialité et l'intégrité des données transmises. Etant donné que le protocole SSL empêche l'écoute ou la falsification des informations envoyées sur le réseau, il doit être utilisé avec un mécanisme de connexion ou d'authentification et sur tout réseau sur lequel transite des informations confidentielles ou propriétaires.

Pour chiffrer la communication réseau entre ArcGIS Web Adaptor et Portal for ArcGIS, l'utilisation du protocole SSL (Secure Sockets Layer) sur le port 443 est requise. Aucun autre port ne peut être utilisé. L'utilisation du protocole SSL permet d'empêcher les noms, mots de passe et autres informations confidentielles d'être déchiffrés lors de leur envoi entre l'adaptateur Web et le portail. Lorsque vous utilisez le protocole SSL, vous vous connectez à vos pages et ressources Web à l'aide du protocole HTTPS au lieu du protocole HTTP.

Vous devez obtenir un certificat SSL et le lier au site Web qui héberge l'adaptateur Web. Chaque serveur Web suit une procédure qui lui est propre pour charger un certificat et le lier à un site Web.

Création d'un certificat SSL

Pour qu'il soit possible de créer une connexion SSL entre l'adaptateur Web et votre portail, le serveur Web a besoin d'un certificat SSL, c'est-à-dire un fichier numérique contenant des informations sur son identité. Ce certificat contient également la technique de chiffrement à utiliser lors de l'établissement d'un canal sécurisé entre le serveur Web et le portail. Il doit être créé par le propriétaire du site Web et signé numériquement. Il existe trois types de certificats : signé par une autorité de certification, de domaine et auto-signé. Ils sont expliqués ci-dessous.

Certificats signés par une autorité de certification

Les certificats signés par une autorité de certification doivent être utilisés pour les systèmes de production et particulièrement si des utilisateurs doivent accéder à votre déploiement de Portal for ArcGIS en dehors de votre organisation. Par exemple, si votre portail ne se trouve pas derrière votre pare-feu et qu'il est accessible sur Internet, les utilisateurs qui y accèdent en dehors de votre organisation sont certains, s'ils utilisent un certificat signé par une autorité de certification, que l'identité du site Web a été vérifiée.

Un certificat SSL peut non seulement être signé par le propriétaire du site Web, mais aussi par une autorité de certification indépendante. Il s'agit généralement d'un tiers de confiance qui peut attester de l'authenticité d'un site Web. Si un site Web est digne de confiance, l'autorité de certification ajoute sa propre signature numérique au certificat SSL auto-signé. Les clients Web ont ainsi la garantie que l'identité du site Web a été vérifiée.

En cas d'utilisation d'un certificat SSL émis par une autorité de certification connue, une communication sécurisée entre le serveur et le client Web est établie automatiquement sans qu'aucune action spéciale ne soit requise de la part de l'utilisateur. Vous ne remarquez aucun comportement inattendu ou message d'avertissement dans le navigateur Web, car le site Web a été vérifié par l'autorité de certification.

Certificats de domaines

Si votre portail se trouve derrière votre pare-feu et que vous ne pouvez pas utiliser de certificat signé par une autorité de certification, vous pouvez utiliser un certificat de domaine. Un certificat de domaine est un certificat interne signé par l'autorité de certification de votre organisation. En utilisant un certificat de domaine, vous pouvez réduire les coûts associés à l'émission de certificats et faciliter leur déploiement, car ils sont rapidement générés et approuvés au sein de votre organisation à des fins internes.

Les utilisateurs de votre domaine ne rencontreront aucun comportement inattendu ou message d'avertissement, lesquels sont habituellement associés à un certificat auto-signé, car le site Web a été vérifié par le certificat de domaine. Toutefois, les certificats de domaines ne sont pas validés par une autorité de certification externe. Par conséquent, les utilisateurs qui visitent votre site en dehors de votre domaine ne pourront pas vérifier que votre certificat représente réellement l'entité qu'il prétend représenter. Les utilisateurs externes verront dans le navigateur des avertissements indiquant que le site n'est pas approuvé. Ils pourront alors penser qu'ils communiquent avec une partie malveillante et ne pas visiter votre site.

Création d'un certificat de domaine dans IIS

Dans le Gestionnaire des services Internet, procédez ainsi pour créer un certificat de domaine :

Etapes :
  1. Dans le volet Connexions, sélectionnez votre serveur dans l'arborescence et double-cliquez sur Certificats du serveur.

    Icône Certificats de serveur dans le Gestionnaire des services Internet

  2. Dans le volet Actions, cliquez sur Créer un certificat de domaine.

    Lien Créer un certificat de domaine dans le Gestionnaire des services Internet

  3. Dans la boîte de dialogue Propriétés du nom unique, indiquez les informations nécessaires :
    1. Dans la section Nom commun, entrez le nom de domaine complet de la machine, par exemple portal.domain.com.
    2. Indiquez les informations demandées pour votre organisation, ainsi que son adresse.

      Boîte de dialogue Propriétés du nom unique dans le Gestionnaire des services Internet.

  4. Cliquez sur Suivant.
  5. Dans la boîte de dialogue Autorité de certification en ligne, cliquez sur Sélectionner et choisissez l'autorité de certification dans votre entreprise qui doit signer le certificat. Si cette option n'est pas disponible, indiquez l'autorité de certification de votre domaine dans le champ Indiquer une autorité de certification en ligne. Entrez par exemple City Of Redlands Enterprise Root\REDCASRV.empty.local. Contactez votre administrateur système si vous avez besoin d'aide pour cette étape.

    Boîte de dialogue Autorité de certification en ligne dans le Gestionnaire des services Internet

  6. Attribuez un nom convivial au certificat de domaine, puis cliquez sur Terminer.

L'étape finale consiste alors à lier le certificat de domaine au port SSL 443. Consultez la section Liaison du certificat au site Web pour plus d'informations.

Certificats auto-signés

La création d'un certificat auto-signé n'est pas une option valide dans un environnement de production, car elle génère des résultats inattendus et une expérience peu satisfaisante pour les utilisateurs du portail.

On désigne sous le nom de certificat auto-signé un certificat SSL signé uniquement par le propriétaire du site Web. Ce type de certificat est généralement utilisé sur les sites Web accessibles aux seuls utilisateurs du réseau interne (LAN) de l'organisation. Si vous communiquez avec un site Web en dehors de votre propre réseau qui utilise un certificat auto-signé, vous n'avez aucun moyen de vérifier que le site qui émet le certificat représente réellement la partie qu'il prétend représenter. Vous pourriez très bien communiquer avec une partie malveillante et faire courir un risque à vos données.

Lorsque vous configurez le portail pour la première fois, vous pouvez utiliser un certificat auto-signé pour procéder à des tests initiaux qui vous aideront à vérifier que la configuration a abouti. Si toutefois vous utilisez un certificat auto-signé, vous risquez de rencontrer les scénarios suivants lors des tests :

  • Avertissements du navigateur Web et d'ArcGIS for Desktop concernant le manque de fiabilité du site. Lorsqu'un navigateur Web rencontre un certificat auto-signé, il affiche généralement un avertissement et vous demande de confirmer votre souhait d'accéder au site. De nombreux navigateurs affichent des icônes d'avertissement ou une couleur rouge dans la barre d'adresse tant que vous utilisez le certificat auto-signé. Vous devez vous attendre à voir ces types d'avertissements si vous configurez votre portail avec un certificat auto-signé.
  • Impossibilité d'ouvrir un service fédéré dans la visionneuse de carte du portail, d'ajouter un élément de service sécurisé au portail, de se connecter au gestionnaire ArcGIS Server sur un serveur fédéré et de se connecter au portail à partir d'Esri Maps for Office.
  • Comportement inattendu en cas d'impression des services hébergés et d'accès au portail à partir d'applications clientes.
  • Connexion impossible au portail à partir d'Esri Maps for Office, à moins que le certificat auto-signé ne soit installé dans le magasin de certificats Autorités de certification racines de confiance qui se trouve sur la machine exécutant Esri Maps for Office.
AttentionAttention :

La liste ci-dessus des problèmes que vous risquez de rencontrer avec un certificat auto-signé n'est pas exhaustive. Il est conseillé d'utiliser un certificat de domaine ou un certificat signé par une autorité de certification pour tester et déployer entièrement votre portail.

Création d'un certificat auto-signé dans le Gestionnaire des services Internet

Dans le Gestionnaire des services Internet, procédez ainsi pour créer un certificat auto-signé :

Etapes :
  1. Dans le volet Connexions, sélectionnez votre serveur dans l'arborescence et double-cliquez sur Certificats du serveur.

    Icône Certificats de serveur dans le Gestionnaire des services Internet

  2. Dans le volet Actions, cliquez sur Créer un certificat auto-signé.

    Lien Créer un certificat auto-signé dans le Gestionnaire des services Internet

  3. Attribuez un nom convivial au nouveau certificat, puis cliquez sur OK.

L'étape finale consiste alors à lier le certificat auto-signé au port SSL 443. Consultez la section Liaison du certificat au site Web pour plus d'informations.

Liaison du certificat au site Web

Une fois le certificat SSL créé, vous devez le lier au site Web qui héberge l'adaptateur Web. La liaison désigne la procédure de configuration du certificat SSL afin d'utiliser le port 443 sur le site Web. Les instructions relatives à la liaison d'un certificat au site Web varient selon la plateforme utilisée et la version de votre serveur Web. Pour savoir comment procéder, contactez votre administrateur système ou consultez la documentation de votre serveur Web. Voici les étapes à suivre pour lier un certificat dans IIS :

Liaison d'un certificat au port 443 dans IIS

Dans le Gestionnaire des services Internet, procédez comme suit pour lier un certificat au port 443 SSL :

Etapes :
  1. Sélectionnez votre site dans l'arborescence, puis dans le volet Actions, cliquez sur Liaisons.
    • Si le port 443 n'est pas disponible dans la liste Liaisons, cliquez sur Ajouter. Dans la liste déroulante Type, sélectionnez https. Laissez le port défini sur 443.

      Liste Liaisons de sites dans le Gestionnaire des services Internet

    • Si le port 443 figure dans la liste, sélectionnez-le et cliquez sur Mettre à jour.
  2. Dans la liste déroulante Certificat SSL, sélectionnez le nom de votre certificat et cliquez sur OK.

    Nouvelle liaison dans le Gestionnaire des services Internet

Test de votre site

Après avoir lié le certificat au site Web, vous pouvez configurer votre adaptateur Web en vue de l'utiliser avec le portail. Vous aurez besoin d'accéder à la page de configuration de l'adaptateur Web via une URL HTTPS, telle que https://webadaptor.domain.com/arcgis/webadaptor.

Une fois l'adaptateur Web configuré, vous devez tester le bon fonctionnement de la sécurité SSL en transmettant une requête HTTPS au site Web du portail : par exemple https://webadaptor.domain.com/arcgis/home. Si vous testez le portail avec un certificat auto-signé, ignorez les messages d'avertissement du navigateur concernant les connexions non approuvées. Pour ce faire, vous pouvez ajouter une exception dans votre navigateur afin qu'il vous autorise à communiquer avec le site qui utilise un certificat auto-signé.

Pour en savoir plus sur le test de votre site avec SSL, consultez les instructions suivantes de Microsoft configuration de la sécurité SSL sur IIS. Pour en savoir plus sur l'utilisation de SSL dans le déploiement de votre portail, reportez-vous à la rubrique Pratiques conseillées en matière de sécurité.

5/10/2014