Importation d'un certificat dans le portail

HTTPS est une méthode de chiffrement des communications depuis et vers un serveur Web. HTTPS offre également à une application cliente la possibilité de confirmer l'identité du serveur Web. Lorsque vous utilisez HTTPS, chaque serveur Web sur lequel HTTPS est activé doit envoyer un certificat aux clients. Le certificat contient une déclaration d'identité (Je suis gis.mycity.gov) et une clé publique que le client peut utiliser pour envoyer des informations chiffrées au serveur Web.

Les utilisateurs de Portal for ArcGIS transmettent souvent des informations devant être chiffrées ; par conséquent, le protocole HTTPS est toujours activé dans le portail et il est requis pour votre adaptateur Web. Votre adaptateur Web est installé pour fonctionner avec un serveur Web, sur lequel HTTPS sera activé.

Il est fortement recommandé que le certificat du serveur Web soit signé par une autorité de certification. Le portail est livré avec un certificat auto-signé. Un certificat auto-signé implique que le client ne peut pas vérifier l'identité du serveur, mais qu'il peut envoyer du contenu chiffré. Le remplacement du certificat auto-signé par un certificat signé par une autorité de certification améliore la sécurité de votre déploiement.

Vous pouvez utiliser un certificat avec le portail de deux façons : La première façon consiste à générer un certificat en émettant une demande de signature de certificat, en la faisant signer par votre autorité de certification et en l'important dans le portail. La deuxième façon consiste à importer un certificat existant ayant déjà été attribué à la machine sur laquelle le portail est installé. Comme la plupart des autorités de certification facturent la signature de certificats, les clients possédant des certificats pour la même machine préfèrent souvent importer un certificat existant plutôt qu'en générer un nouveau. Voici les procédures à suivre pour les deux méthodes.

Ces deux méthodes font appel à un outil de gestion des certificats appelé keytool. La commande keytool est contenue dans <Portal for ArcGIS installation location>\arcgis\portal\framework\runtime\jre\bin. Vos certificats seront tous stockés dans un fichier appelé portal.ks, contenu dans <Portal for ArcGIS installation location>\arcgis\portal\etc\ssl.

Génération d'un nouveau certificat.

Cette procédure permet de générer une demande de signature de certificat, de la signer, d'importer le certificat racine de votre organisation et d'importer le certificat signé.

Création d'une demande de signature de certificat et signature

Etapes :
  1. Ouvrez une fenêtre de ligne de commande à l'aide de l'option Exécuter en tant qu'administrateur.
  2. A partir de la ligne de commande, accédez au répertoire <Portal for ArcGIS installation location>\framework\runtime\jre\bin.
  3. Exécutez la commande suivante :

    keytool –genkey –alias portalcert –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks -keyalg RSA

    RemarqueRemarque :

    Vous pouvez entrer votre propre texte pour le paramètre -alias ; portalcert est fourni à titre d'exemple. L'alias que vous choisissez est important, car vous devrez le réutiliser ultérieurement, lorsque vous créerez la demande de signature de certificat et importerez le certificat signé sur le portail.

    1. Lorsque vous y êtes invité, saisissez le mot de passe keystore, portal.secret. Appuyez sur Entrée.
    2. Lorsque vous êtes invité à saisir votre prénom et nom, tapez le nom de domaine qualifié complet de votre serveur (par exemple, portal.mycity.gov). Appuyez sur Entrée.
    3. Pour votre unité organisationnelle, saisissez un nom de service ayant du sens pour un utilisateur de votre site. Appuyez sur Entrée.
    4. Spécifiez le nom de votre organisation. Appuyez sur Entrée.
    5. Spécifiez le nom de votre ville ou paramètre local. Appuyez sur Entrée.
    6. Spécifiez le nom de votre département ou région. Appuyez sur Entrée.
    7. Spécifiez le code à deux lettres du pays dans lequel réside votre organisation. Appuyez sur Entrée.
    8. Vérifiez les informations que vous avez spécifiées. Tapez yes et appuyez sur Entrée.
    9. Vous pouvez également spécifier un mot de passe keystore pour le certificat. Si vous voulez utiliser le mot de passe keystore par défaut portal.secret, ne spécifiez rien. Appuyez sur Entrée.
  4. Exécutez la commande suivante :

    keytool –certreq –alias portalcert –file <Portal for ArcGIS installation location>/etc/ssl/portalcert.csr –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks

  5. Spécifiez le mot de passe keystore. Le mot de passe est portal.secret si vous avez utilisé la valeur par défaut ci-dessus. Appuyez sur Entrée.

Un fichier nommé portalcert.csr est généré dans le répertoire <Portal for ArcGIS installation location>/etc/ssl. Envoyez ce fichier à votre autorité de certification pour le faire signer. Placez le fichier renvoyé dans le répertoire <Portal for ArcGIS installation location>\etc\ssl.

Importation du certificat racine de votre organisation

Etapes :
  1. Ouvrez une fenêtre de ligne de commande à l'aide de l'option Exécuter en tant qu'administrateur.
  2. A partir de la ligne de commande, accédez au répertoire <Portal for ArcGIS installation location>\framework\runtime\jre\bin.
  3. Importez le certificat racine de votre organisation dans le portail en exécutant la commande suivante :

    keytool –importcert –alias orgRootCert –file <file path to root certificate>/orgRootCert.cer –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks

    Contactez votre administrateur système pour découvrir comment obtenir le certificat racine.

    RemarqueRemarque :

    Vous pouvez entrer votre propre texte pour le paramètre -alias ; orgRootCert est fourni à titre d'exemple.

  4. Spécifiez le mot de passe keystore. Le mot de passe est portal.secret si vous avez utilisé la valeur par défaut ci-dessus. Appuyez sur Entrée.
  5. Lorsque vous êtes invité à approuver ce certificat, tapez yes et appuyez sur Entrée.

Importation du certificat signé

Etapes :
  1. Ouvrez une fenêtre de ligne de commande à l'aide de l'option Exécuter en tant qu'administrateur.
  2. A partir de la ligne de commande, accédez au répertoire <Portal for ArcGIS installation location>\framework\runtime\jre\bin.
  3. Importez le certificat signé que vous avez obtenu de votre autorité de certification en exécutant la commande suivante :

    keytool –importcert –alias portalcert –file <Portal for ArcGIS installation location>/etc/ssl/signedCert.cer –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks

  4. Spécifiez le mot de passe keystore. Le mot de passe est portal.secret si vous avez utilisé la valeur par défaut ci-dessus. Appuyez sur Entrée.
  5. Ouvrez le fichier <Portal for ArcGIS installation location>\framework\runtime\tomcat\conf\server.xml dans un éditeur de texte.
  6. Recherchez la propriété keystorePass="portal.secret" et ajoutez keyAlias="portalcert" à la fin de la propriété. Par exemple
    keystorePass="portal.secret" keyAlias="portalcert"
  7. Enregistrez et fermez le fichier.
  8. Redémarrez Portal for ArcGIS pour que la modification prenne effet. Pour obtenir des instructions, reportez-vous à la rubrique Arrêt et démarrage du portail.

Importation d'un certificat existant

Cette procédure permet d'importer un certificat dans le portail. HTTPS effectue le chiffrement à l'aide d'une paire de clés de chiffrement publique et privée. La clé publique, contenue dans le certificat, est partagée avec tous les utilisateurs pour que les informations puissent être chiffrées. Une clé privée, nécessaire pour le déchiffrement, doit être fournie au portail.

Les certificats de clés publiques ou privées sont transmises dans des fichiers *.p12 ou *.pfx , qui sont souvent protégés par un mot de passe. Avant de commencer, assurez-vous que vous disposez du fichier *.p12 ou *.pfx et que vous connaissez le mot de passe.

Etapes :
  1. Placez le fichier *.p12 ou *.pfx dans le répertoire <Portal for ArcGIS installation location>\etc\ssl. Le reste de la procédure utilise cert.p12 comme exemple.
  2. Ouvrez une fenêtre de ligne de commande à l'aide de l'option Exécuter en tant qu'administrateur.
  3. A partir de la ligne de commande, accédez au répertoire <Portal for ArcGIS installation location>\etc\ssl.
  4. Recherchez l'alias du certificat que vous essayez d'importer :

    keytool -list -keystore cert.p12 -storetype PKCS12

    Lorsque le mot de passe keystore vous est demandé, saisissez le mot de passe du fichier *.p12 ou *.pfx. L'invite de commande affichera un message similaire au suivant :

    Keystore type: PKCS12
Keystore provider: SunJSSE

Your keystore contains 1 entry
la-620dfedf-681b-4fe0-af13-2d09b1c5515e, Dec 21, 2013, PrivateKeyEntry,
Certificate fingerprint (SHA1): 28:BB:ED:55:7C:5B:0F:F1:79:54:BF:FE:CC:14:82:20:E5:8F:BF:3D

    La chaîne de lettres et de chiffres qui suit le texte Your keystore contains 1 entry est l'alias de votre certificat.

  5. Importez le certificat en définissant l'alias et remplacez l'alias du certificat par portalcert :

    keytool -importkeystore -srckeystore cert.p12 -destkeystore portal.ks -srcstoretype PKCS12 -deststoretype JKS -alias la-620dfedf-681b-4fe0-af13-2d09b1c5515e -destalias portalcert

    Lorsque vous y êtes invité, saisissez portal.secret comme mot de passe keystore de destination. A l'invite, saisissez le mot de passe du fichier *.p12 ou *.pfx. Cela importera le certificat et remplacera l'alias du certificat par portalcert.

    RemarqueRemarque :

    Vous pouvez entrer votre propre texte pour le paramètre -destalias ; portalcert est fourni à titre d'exemple.

  6. Vérifiez que le certificat a été importé correctement :

    keytool -list -keystore portal.ks

    Lorsque vous y êtes invité, saisissez portal.secret comme mot de passe keystore de destination. Vérifiez que l'alias portalcert est répertorié dans la liste des entrées keystore.

  7. Modifiez le mot de passe du certificat que vous avez importé pour qu'il corresponde au mot de passe keystore du portail :

    keytool -keypasswd -keystore portal.ks -alias portalcert -keypass passwordofp12orpfxfile -new portal.secret

    Lorsque vous y êtes invité, saisissez portal.secret comme mot de passe keystore de destination. Le mot de passe du certificat que vous avez importé est désormais le même que le mot de passe keystore du portail.

  8. Ouvrez le fichier <Portal for ArcGIS installation location>\framework\runtime\tomcat\conf\server.xml dans un éditeur de texte.
  9. Recherchez la propriété keystorePass="portal.secret" et ajoutez keyAlias="portalcert" à la fin de la propriété. Par exemple
    keystorePass="portal.secret" keyAlias="portalcert"
  10. Enregistrez et fermez le fichier.
  11. Redémarrez Portal for ArcGIS pour que la modification prenne effet. Pour obtenir des instructions, reportez-vous à la rubrique Arrêt et démarrage du portail.
Copyright © 1995-2014 Esri. All rights reserved.
5/10/2014