Ein selbstsigniertes SSL-Zertifikat wird für die folgenden ArcGIS Data Store-Interaktionen verwendet:
- Für den Zugriff des Data Store-Konfigurationsassistenten auf die ArcGIS Data Store-Dateien über einen Webserver
- Für die Kommunikation über den Webserver zwischen dem Hosting-Server und den ArcGIS Data Store-Computern
- Für die Kommunikation über Ports zwischen und innerhalb der einzelnen Computer in einem Data Store vom Typ "relational", einem Data Store vom Typ "Kachel-Cache", einem Objektspeicher oder einem Graph Store
- Für die Kommunikation über Ports zwischen dem Hosting-Sever und einem ArcGIS Data Store-Computer
Wenn für Ihre Organisation die Sicherung dieser Interaktionen durch ein von einer Zertifizierungsstelle (CA) überprüftes und signiertes SSL-Zertifikat oder ein für Ihre Domäne generiertes Zertifikat erforderlich ist, können Sie das Dienstprogramm replacesslcertificate verwenden, um das selbstsignierte Zertifikat durch ein von einer Zertifizierungsstelle signiertes Zertifikat oder ein Domänenzertifikat zu ersetzen.
Das Zertifikat muss im Format PKCS12 gespeichert sein, die Dateierweiterung .pfx oder .p12 besitzen und in alle Computer importiert werden, auf denen ArcGIS Data Store installiert ist.
Gehen Sie wie folgt vor, um das SSL-Zertifikat auf einem ArcGIS Data Store-Computer zu aktualisieren:
- Fordern Sie ein SSL-Zertifikat von einer Zertifizierungsstelle an oder generieren Sie ein Domänenzertifikat.
- Erstellen Sie eine Datei im PKCS12-Format und legen Sie ein Kennwort und einen Aliasnamen für die Datei fest.
- Führen Sie das Dienstprogramm replacesslcertificate zum Ersetzen des selbstsignierten Zertifikats für einen ArcGIS Data Store-Computer aus.
- Wenn Sie das für die Kommunikation mit dem Webserver verwendete Zertifikat ersetzen möchten, verwenden Sie das Dienstprogramm replacesslcertificate mit der Option webserver.
- Wenn Sie das für die Kommunikation über Ports und zwischen Data-Store-Computern verwendete Zertifikat ersetzen möchten, führen Sie das Dienstprogramm replacesslcertificate mit der entsprechenden Data-Store-Option aus.
In diesem Beispiel befindet sich die Zertifikatsdatei (casignedcert.pfx) im Verzeichnis cacerts, besitzt den Aliasnamen myfilealias, ist mit dem Kennwort Sec00rit geschützt und wird als Ersatz für das für die Kommunikation mit dem Webserver verwendete Zertifikat verwendet.
replacesslcertificate C:\cacerts\casignedcert.pfx "Sec00rit" myfilealias --option webserver
Im folgenden Beispiel befindet sich die Zertifikatsdatei (casignedcert2.pfx) im Verzeichnis certs, besitzt den Aliasnamen reldscert, ist mit dem Kennwort S00per$ecret geschützt und wird als Ersatz für das Zertifikat verwendet, das für die Kommunikation zwischen dem primären Computer und den Standby-Computern im Data Store vom Typ "relational", für die Kommunikation mit Computern im Data Store vom Typ "relational" über die Ports 2443, 9876, 44369, 45671, 45672 und 50432 und für die Kommunikation für Webhooks über die Ports 25672 und 44369 verwendet wird.
replacesslcertificate C:\cacerts\casignedcert2.pfx "S00per$ecret" reldscert --option relational
- Falls Sie über mehrere ArcGIS Data Store-Computer verfügen, aktualisieren Sie jeweils deren Zertifikate.
Überprüfung, ob CA-Zertifikat für die Kommunikation verwendet wird
Um zu überprüfen, ob das Zertifikat des Webservers ordnungsgemäß aktualisiert wurde, öffnen Sie einen Browser und geben Sie die URL für den Data Store-Konfigurationsassistenten ein. Die URL hat das Format https://<fully qualified data store machine name>:2443/arcgis/datastore. Wenn sich der Assistent öffnet, ohne eine Sicherheitswarnung zurückzugeben, wurde das SSL-Zertifikat für die Kommunikation mit dem Webserver erfolgreich aktualisiert.
Sie können OpenSSL-Befehle herunterladen und ausführen, um sicherzustellen, dass der Zertifikatpfad für die Kommunikation über Ports keine selbstsignierten Zertifikate mehr enthält.