Skip to main content

Comprendre les certificats SSL pour ArcGIS Server et Portal for ArcGIS

Vous êtes-vous déjà demandé comment corriger rapidement les erreurs ou les avertissements à propos des certificats SSL lorsque vous travaillez avec ArcGIS Server ou Portal for ArcGIS? Comprenez-vous bien les multiples « niveaux » de certificat utilisés par ArcGIS Server et Portal for ArcGIS lorsque l’accès à ces plateformes est fait à partir d’adresses URL HTTPS? Si vos réponses sont « oui » et « non », ce billet de blogue est pour vous.

Vous êtes-vous déjà demandé comment corriger rapidement les erreurs ou les avertissements à propos des certificats SSL lorsque vous travaillez avec ArcGIS Server ou Portal for ArcGIS? La situation s’est probablement déjà présentée si vous êtes un administrateur d’ArcGIS ou un administrateur des systèmes informatiques qui supervise le SIG et les serveurs web de votre organisation.

Ensuite, comprenez-vous bien les multiples « niveaux » de certificat utilisés par ArcGIS Server et Portal for ArcGIS lorsque l’accès à ces plateformes est fait à partir d’adresses URL HTTPS? Une telle compréhension est fondamentale, car elle vous permet de chercher aux bons endroits pour régler les problèmes touchant les certificats dans ArcGIS Server et Portal for ArcGIS.

Si vos réponses sont « oui » et « non », ce billet de blogue est pour vous.

Certificats relatifs à ArcGIS Server

Nous allons commencer par ArcGIS Server.

Examinons d’abord ces deux adresses URL HTTPS utilisées pour accéder au répertoire des services REST d’ArcGIS :

  • https://<gisserver.domain.com>:6443/arcgis/rest/services
  • https://<webadaptorhost.domain.com>/<webadaptorname>/rest/services

La première est communément appelée l’URL 6443 d’ArcGIS Server et la seconde est une URL d’ArcGIS Web Adaptor. (Prenez note que certaines organisations peuvent choisir de ne pas configurer ArcGIS Web Adaptor avec ArcGIS Server et d’exposer leurs services autrement, par exemple par l’intermédiaire d’un serveur mandataire inverse existant.)

Lorsqu’ils accèdent à ArcGIS Server avec l’URL 6443, les utilisateurs rencontrent le certificat appliqué au niveau d’ArcGIS Server, et lorsqu’ils y accèdent avec l’URL de l’adaptateur web, ils rencontrent le certificat appliqué au niveau du serveur web (p. ex., un serveur web IIS).

Pour vérifier le certificat actuel au niveau d’ArcGIS Server, vous devez vous connecter au répertoire d’administrateur d’ArcGIS Server (p. ex., https://<gisserver.domain.com>:6443/arcgis/admin), puis cliquer sur machines, <nom de la machine> et trouver le nom du certificat répertorié sous le nom Web server SSL Certificate (certificat SSL de serveur web). Par défaut, ArcGIS Server génère et applique automatiquement un certificat autosigné au moment de la création du site. Ce certificat peut être remplacé par un certificat de domaine ou un certificat de l’autorité de certification, au besoin. Vous pouvez consulter les détails du certificat actuel en cliquant sur Resources: sslcertificates et sur le nom du certificat mentionné ci-dessus (voir un exemple de certificat autosigné ci-dessous).

Certificat autosigné d’ArcGIS Server

Pour vérifier le certificat actuel au niveau du serveur web, l’approche varie en fonction de votre architecture réseau. Un déploiement populaire consiste à installer ArcGIS Web Adaptor sur un serveur web IIS, à le configurer avec ArcGIS Server et à accéder à ArcGIS Server avec l’URL de l’adaptateur web. Dans ce cas, les administrateurs peuvent vérifier le certificat au niveau du web en lançant IIS Manager, en naviguant vers le site web dans lequel ArcGIS Web Adaptor est installé, en cliquant sur Edit Binding (modifier la liaison) et en vérifiant le certificat lié au port HTTPS tel que 443 (voir un exemple ci-dessous).

Afficher le certificat SSL dans IIS Manager

Certificats relatifs à Portal for ArcGIS

De la même façon, vous pouvez lancer l’application Portal for ArcGIS Home à l’aide des deux URL HTTPS suivantes :

  • https://<portal.domain.com>:7443/arcgis/home
  • https://<webadaptorhost.domain.com>/<webadaptorname>/home

La première est appelée l’URL 7443 de Portal for ArcGIS et la seconde est une URL d’ArcGIS Web Adaptor. (Contrairement à ArcGIS Server, Portal for ArcGIS nécessite un adaptateur web. Les organisations peuvent avoir d’autres composants réseau au-dessus de l’adaptateur web, comme un équilibreur de charge, et les utilisateurs peuvent accéder à Portal for ArcGIS avec l’URL de cet équilibreur de charge plutôt qu’avec l’URL de l’adaptateur web.)

Lorsqu’ils accèdent à l’application Portal Home avec l’URL 7443, les utilisateurs rencontrent le certificat appliqué au niveau de Portal for ArcGIS, et lorsqu’ils y accèdent avec l’URL de l’adaptateur web, ils rencontrent le certificat appliqué au niveau du serveur web.

Pour vérifier le certificat actuel au niveau de Portal for ArcGIS, vous devez vous connecter au répertoire d’administrateur de Portal (p. ex., https://<portal.domain.com>:7443/arcgis/portaladmin), puis cliquer sur Security, SSLCertificates et trouver le certificat répertorié sous le nom Web Server SSL Certificate (certificat SSL de serveur web). Par défaut, Portal for ArcGIS génère et applique automatiquement un certificat autosigné au moment de la création du site. Ce certificat peut aussi être remplacé par un certificat de domaine ou un certificat de l’autorité de certification. Sur la même page, vous pouvez cliquer sur le nom du certificat trouvé pour en voir les détails.

Pour vérifier le certificat actuel au niveau du web, ce qui s’applique à ArcGIS Server s’applique également à Portal for ArcGIS, sauf pour Portal Web Adaptor, que vous devez uniquement configurer avec le port 443 pour le trafic HTTPS.

Maintenant que vous avez une bonne compréhension des certificats « multiniveaux » qu’ArcGIS Server et Portal for ArcGIS peuvent utiliser, vous devriez être en mesure de répondre à la question suivante :

« Je reçois un avertissement de sécurité lors du lancement du répertoire des services REST d’ArcGIS. Pourtant, je possède un certificat valide et configuré de l’autorité de certification. Quel est le problème? »

Avertissement de sécurité dans Internet Explorer

Un problème courant est que le certificat valide de l’autorité de certification est appliqué au niveau du serveur web et que vous accédez à l’URL 6443 d’ArcGIS Server, qui utilise par défaut le certificat autogénéré et autosigné. Ce certificat n’est pas approuvé par le navigateur client, à moins qu’il ne soit explicitement ajouté à la banque de certificats approuvés sur cette machine.

Pour vérifier quel certificat vous rencontrez, lorsque vous naviguez vers une URL HTTPS dans Internet Explorer 11, vous pouvez cliquer sur l’icône de cadenas (ou parfois « Certificate error » [erreur de certificat]) dans la barre d’adresse, puis sur View certificates (afficher les certificats). Dans Chrome 65, lancez l’outil de développement (en appuyant sur F12 sur le clavier), cliquez sur l’onglet Security (Sécurité), puis sur View certificate (afficher le certificat). Pour les autres navigateurs ou pour des versions particulières, reportez-vous à la documentation officielle pertinente afin de savoir comment afficher les détails des certificats SSL.

Et voilà!

La prochaine fois que vous aurez besoin de régler des problèmes de certificat avec ArcGIS Server ou Portal for ArcGIS, je vous recommande de commencer par rechercher les avertissements ou les messages d’erreur en ligne. Ensuite, vous devriez vérifier les détails du certificat SSL actuel dans le navigateur lorsqu’il s’agit de problèmes évidents tels qu’une inadéquation des noms, l’expiration du certificat et ainsi de suite. Découvrez si le problème concerne le certificat SSL du serveur web ou le certificat appliqué au niveau d’ArcGIS Server ou de Portal for ArcGIS. Si vous devez mettre à jour le certificat, assurez-vous de suivre les documents appropriés d’Esri ou du fournisseur du serveur web. Voici quelques documents d’Esri connexes :

Enfin, n’oubliez pas qu’un « mauvais » certificat pourrait faire planter votre site et bloquer l’accès de l’administrateur. Faites attention aux dates d’expiration des certificats et procédez avec prudence lorsque vous avez besoin de faire un changement.

Ce billet a été écrit en anglais par Jing Yan et peut être consulté ici.