Включение HTTPS на вашем веб-сервере—ArcGIS Enterprise | Документация для ArcGIS Enterprise

Включение HTTPS на вашем веб-сервере—ArcGIS Enterprise | Документация для ArcGIS Enterprise Сертификаты
На чтение 9 мин. Просмотров 29 Опубликовано
Содержание
  1. Добавьте оснастку сертификата в консоли управления microsoft (mmc)
  2. Импортируйте промежуточный ssl-сертификат
  3. Конвертируйте crt-файл в формат cer
  4. Настраиваем авторизацию в iis по сертификатам используя onetoone
  5. Перезапустите iis
  6. Привяжите ssl-сертификат
  7. Самозаверяющие сертификаты
  8. Создание самозаверяющегося сертификата в iis
  9. Сертификаты, подписанные центром сертификации (ca)
  10. Скопируйте файлы сертификата на сервер
  11. Создание доменного сертификата в iis
  12. Создание самозаверяющегося сертификата в iis
  13. Создание сертификата ssl
  14. Сертификаты, подписанные центром сертификации (ca)
  15. Сертификаты домена
  16. Создание доменного сертификата в iis
  17. Самозаверяющие сертификаты
  18. Создание самозаверяющегося сертификата в iis
  19. Установите ssl-сертификат

Добавьте оснастку сертификата в консоли управления microsoft (mmc)

  1. Откройте меню Пуск и нажмите Выполнить.
  2. Введите mmc в строке и нажмите ОК.
  3. В меню Файл выберите Добавить или удалить оснастку.
  4. В открывшемся окне нажмите кнопку Добавить.
  5. Нажмите Сертификаты, а затем Добавить.
  6. Выберите Аккаунт компьютера и нажмите Далее.
  7. Нажмите Локальный компьютер, а затем Готово.
  8. В окне Добавить изолированную оснастку нажмите Закрыть.
  9. В окне Добавить или удалить оснастку нажмите ОК.

Импортируйте промежуточный ssl-сертификат

  1. В консоли MMC нажмите , чтобы открыть раздел Сертификаты (локальный компьютер).
  2. Нажмите правой кнопкой мыши на папку Промежуточные центры сертификации. Наведите указатель мыши на пункт Все задачи и выберите Импорт.
  3. В открывшемся окне нажмите Далее.
  4. Нажмите кнопку Обзор. Найдите и выберите файл промежуточного сертификата gd_iis_intermediates.p7b, а затем нажмите Открыть.
  5. Нажмите Далее. Проверьте данные сертификата и выберите Готово.
  6. Закройте уведомление об успешном импорте.

Конвертируйте crt-файл в формат cer

  1. Найдите и откройте скачанный файл с расширением .crt.
  2. Выберите вкладкуСведения и нажмите кнопку Копировать в файл.
  3. В окне Мастера сертификатов нажмите Далее.
  4. Выберите Файлы X.509 (CER) в кодировке Base-64 и нажмите Далее.
  5. Нажмите кнопку Обзор. Выберите, где нужно сохранить файл с расширением CER, и введите название сертификата.
  6. Нажмите Далее, затем — Готово.

Настраиваем авторизацию в iis по сертификатам используя onetoone

Всем доброго времени суток. Так уж получилось, на работе необходимо было настроить сервер с IIS, да не просто настроить, но повесить авторизацию на разные сервисы с использованием только определенного сервису сертификата. Данная проблема может быть решена использованием нескольких центров генерации, но не будем все усложнять и приступим к настройке «ОдинКОдному» нашего IIS.

Генерация необходимых ключей очень подробно описана в интернете(статья на хабре) и не должна вызвать особых проблем, поэтому эту часть я опущу.

Переходим к делу:
1) Устанавливаем IIS и необходимые компоненты. Обязательно отмечаем «Проверка подлинности с сопоставлением сертификата клиента IIS».

Включение HTTPS на вашем веб-сервере—ArcGIS Enterprise | Документация для ArcGIS Enterprise

2) Для привязки нам понадобится клиентский сертификат в кодировке base64, его очень просто экспортировать из остнастки (certmgr.msc) «Сертификаты» или из «Свойства обозревателя».

Про сертификаты:  Персональный аттестат webmoney: как и где получить, лимиты, что дает и какие возможности открывает

Включение HTTPS на вашем веб-сервере—ArcGIS Enterprise | Документация для ArcGIS Enterprise

3) Полученный сертификат открываем в текстовом редакторе и выстаиваем в одну линию, предварительно удалив строчки «BEGIN CERTIFICATE» и «END CERTIFICATE».

Включение HTTPS на вашем веб-сервере—ArcGIS Enterprise | Документация для ArcGIS Enterprise

С подготовкой закончили переходим к серверу.

4) Запускаем остнастку (inetmgr) «Диспетчер служб IIS», и устанавливаем сертификат сервера. В моём случае CN сертификата Localhost.

Включение HTTPS на вашем веб-сервере—ArcGIS Enterprise | Документация для ArcGIS Enterprise

5) После этого мы можем привязать этот сертификат к сервисам. Идем в привязки и выбрав Https указываем необходимый порт и сертификат.

6) В параметрах SSL отмечаем «Требовать SSL» и сертификат клиента «требовать».

Включение HTTPS на вашем веб-сервере—ArcGIS Enterprise | Документация для ArcGIS Enterprise

7) Теперь любой сертификат выпущенный нашим УЦ подойдет для авторизации, но цель данной статьи как раз показать следующий шаг когда клиентов с сертификатами необходимо разделить. Идем в «Редактор конфигураций» по адресу: «system.webServer/security/authentication/iisClientCertificateMappingAuthentication».

Включение HTTPS на вашем веб-сервере—ArcGIS Enterprise | Документация для ArcGIS Enterprise

8) Здесь предстоит сделать выбор или мы пускаем по конкретным сертификатам или по определенному полю в сертификате (например уникальный OID).

9) Рассмотрим параметр «oneToOneCertificateMappingsEnabled». Установив его значении в «True» мы сможем привязать конкретный сертификат к пользователю.

Включение HTTPS на вашем веб-сервере—ArcGIS Enterprise | Документация для ArcGIS Enterprise

10) Полученный на втором пункте сертификат вставляем в поле «certificate». Поля «userName» и «password» заполняем учетной записью, которую предварительно создали.

11) Теперь при предъявлении занесенного клиентского сертификата мы получим доступ с правами указанной учетной записи. Однако все остальные сертификаты продолжат преспокойно работать и получать анонимный доступ, что бы этого избежать необходимо в iis, отключить анонимную проверку подлинности.

Включение HTTPS на вашем веб-сервере—ArcGIS Enterprise | Документация для ArcGIS Enterprise

На этом этапе авторизация должна проходить только по заданному сертификату.

Код для appcmd:

appcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/iisClientCertificateMappingAuthentication /enabled:"True" /oneToOneCertificateMappingsEnabled:"True"  /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/iisClientCertificateMappingAuthentication / "oneToOneMappings.[userName='22',password='22',certificate='текст сертификата в кодировке base64']" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.webServer/security/access /sslFlags:"Ssl, SslNegotiateCert, SslRequireCert"  /commit:apphost

Перезапустите iis

  1. На панели Действия справа найдите раздел Управление сайтом и выберите Перезапустить.

Привяжите ssl-сертификат

  1. На панели Подключения слева нажмите , чтобы открыть папку Сайты.
  2. Выберите сайт, на который вы хотите установить SSL-сертификат.
  3. На панели Действия справа найдите раздел Редактировать сайт и выберите Привязки.
  4. В открывшемся окне нажмите Добавить и заполните необходимые поля:
  5. Подтвердите действие, нажав ОК. В окне Привязки сайта выберите Закрыть.

Самозаверяющие сертификаты

Сертификат SSL, подписанный только владельцем веб-сайта, называется самозаверяющим сертификатом. Самозаверяющие сертификаты обычно используются на веб-сайтах, которые доступны только пользователям внутренней сети организации (LAN). Если веб-сайт, использующий самозаверяющий сертификат, находится вне вашей собственной сети, вы не сможете проверить, действительно ли сайт, выпустивший сертификат, представляет указанную в нем организацию. При работе с таким сайтом вы подвергаете риску вашу информацию, поскольку за ним могут стоять злоумышленники.

Создание самозаверяющегося сертификата в iis

В Manager IIS выполните следующие шаги, чтобы создать самозаверяющийся сертификат:

Про сертификаты:  Возможность для учителей и студентов: олимпиада с призами и сертификатами — Skyeng Magazine

Последний шаг – связать самозаверяющийся сертификат с SSL-портом 443. Инструкции см. в разделе Привязка сертификата к веб-сайту.

Сертификаты, подписанные центром сертификации (ca)

Сертификаты, подписанные центром сертификации (CA), следует использовать для производственных систем, особенно если к развертыванию ArcGIS Server предполагается доступ пользователей извне вашей организации. Например, если сервер не защищен файрволом и доступен через Интернет, использование сертификата, подписанного центром сертификации (CA) гарантирует пользователям вне организации, что идентичность веб-сайта подтверждена.

Помимо подписи владельца сайта сертификат SSL может иметь подпись независимого сертифицирующего органа (CA). Центром сертификации (CA) обычно является пользующаяся доверием сторонняя организация, которая может подтвердить подлинность веб-сайта. Если веб-сайт является заслуживающим доверия, центр сертификации добавляет собственную цифровую подпись в самозаверяющий сертификат SSL сайта. Это говорит веб-клиентам, что идентичность веб-сайта проверена.

При использовании сертификата SSL, выданного известным центром защищенное соединение между сервером и веб-клиентом возникает автоматически, и никаких специальных действий пользователю предпринимать не надо. Поскольку веб-сайт проверен CA, вы не увидите предупреждений или неожиданного поведения веб-браузера.

Скопируйте файлы сертификата на сервер

  1. Найдите на сервере папку, в которой хранятся файлы сертификатов и ключей, и загрузите в нее промежуточный сертификат (с названием вида gd_iis_intermediates.p7b) и основной сертификат (файл с расширением CER, который вы конвертировали).

Создание доменного сертификата в iis

В Manager IIS выполните следующие шаги, чтобы создать сертификат домена:

Последний шаг – связать сертификат домена с SSL-портом 443. Инструкции см. в разделе Привязка сертификата к веб-сайту.

Создание самозаверяющегося сертификата в iis

В Manager IIS выполните следующие шаги, чтобы создать самозаверяющийся сертификат:

Последний шаг – связать самозаверяющийся сертификат с SSL-портом 443. Инструкции см. в разделе Привязка сертификата к веб-сайту.

Создание сертификата ssl

Для создания SSL-соединения между Web Adaptor и сервером, веб-серверу требуется сертификат SSL. Сертификат SSL – это цифровой файл, содержащий информацию об удостоверении веб-сервера. Он также содержит метод шифрования, который используется при создании защищенного канала между веб-сервером и ArcGIS Server.

Сертификаты, подписанные центром сертификации (ca)

Сертификаты, подписанные центром сертификации (CA), следует использовать для производственных систем, особенно если к развертыванию ArcGIS Server предполагается доступ пользователей извне вашей организации. Например, если сервер не защищен файрволом и доступен через Интернет, использование сертификата, подписанного центром сертификации (CA) гарантирует пользователям вне организации, что идентичность веб-сайта подтверждена.

Помимо подписи владельца сайта сертификат SSL может иметь подпись независимого сертифицирующего органа (CA). Центром сертификации (CA) обычно является пользующаяся доверием сторонняя организация, которая может подтвердить подлинность веб-сайта. Если веб-сайт является заслуживающим доверия, центр сертификации добавляет собственную цифровую подпись в самозаверяющий сертификат SSL сайта. Это говорит веб-клиентам, что идентичность веб-сайта проверена.

Про сертификаты:  Интернет-магазин стройматериалов Cedrus.market - купить строительные материалы с доставкой в Москве по выгодным ценам!

При использовании сертификата SSL, выданного известным центром защищенное соединение между сервером и веб-клиентом возникает автоматически, и никаких специальных действий пользователю предпринимать не надо. Поскольку веб-сайт проверен CA, вы не увидите предупреждений или неожиданного поведения веб-браузера.

Сертификаты домена

Если сервер находится за файрволом и использование подписанного CA сертификата невозможно, воспользуйтесь сертификатом домена. Доменный сертификат – это внутренний сертификат, подписанный CA вашей организации. Использование сертификатов домена помогает снизить стоимость выпуска сертификатов и облегчает их развертывание, поскольку сертификаты быстро генерируются в вашей организации для доверительного внутреннего пользования.

Пользователи, находящиеся в вашем домене, не увидят предупреждений или неожиданного поведения веб-браузера, обычно связанных с использованием самозаверенных сертификатов, поскольку веб-сайт был проверен сертификатом домена. Однако сертификаты домена не проверяются внешней CA, это означает, что пользователи, заходящие на сайт извне домена, не смогут проверить подлинность вашего сертификата. Внешние пользователи увидят в веб-браузере сообщения об отсутствии доверия к сайту, пользователь может считать, что зашел на вредоносный сайт и уйти с него.

Создание доменного сертификата в iis

В Manager IIS выполните следующие шаги, чтобы создать сертификат домена:

Последний шаг – связать сертификат домена с SSL-портом 443. Инструкции см. в разделе Привязка сертификата к веб-сайту.

Самозаверяющие сертификаты

Сертификат SSL, подписанный только владельцем веб-сайта, называется самозаверяющим сертификатом. Самозаверяющие сертификаты обычно используются на веб-сайтах, которые доступны только пользователям внутренней сети организации (LAN). Если веб-сайт, использующий самозаверяющий сертификат, находится вне вашей собственной сети, вы не сможете проверить, действительно ли сайт, выпустивший сертификат, представляет указанную в нем организацию. При работе с таким сайтом вы подвергаете риску вашу информацию, поскольку за ним могут стоять злоумышленники.

Создание самозаверяющегося сертификата в iis

В Manager IIS выполните следующие шаги, чтобы создать самозаверяющийся сертификат:

Последний шаг – связать самозаверяющийся сертификат с SSL-портом 443. Инструкции см. в разделе Привязка сертификата к веб-сайту.

Установите ssl-сертификат

  1. Откройте меню Пуск и нажмите Выполнить.
  2. Введите inetmgr в строке и нажмите ОК, чтобы запустить диспетчер служб IIS.
  3. На панели Подключения слева выберите свой сервер.
  4. На главной панели дважды нажмите на пункт Сертификаты сервера в разделе IIS.
  5. На панели Действия справа выберите Запрос установки сертификатов.
  6. В появившемся окне нажмите . Найдите файл загруженного основного сертификата и выберите Открыть.
  7. Добавьте понятное имя, по которому будет легко находить сертификат.
  8. В качестве хранилища для сертификата выберите Веб-хостинг и нажмите ОК.
IIS информационная безопасность
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат