Skip To Content

Importieren eines Zertifikats in das Portal

In diesem Thema

HTTPS ist eine Option zum Verschlüsseln der Kommunikation zu und von einem Webserver. Außerdem ermöglicht HTTPS einer Clientanwendung die Bestätigung der Identität des Webservers. Bei der Verwendung von HTTPS muss jeder Webserver, für den HTTPS aktiviert ist, ein Zertifikat an die Clients senden. Das Zertifikat enthält eine Identitätserklärung (gis.mycity.gov) und einen öffentlichen Schlüssel, mit dem der Client verschlüsselte Informationen an den Webserver senden kann.

Portal for ArcGIS überträgt oft Informationen, die verschlüsselt werden müssen. Aus diesem Grund ist SSL im Portal immer aktiviert. Es wird dringend empfohlen, ein Zertifikat zu verwenden, das von einer Unternehmens- (internen) oder kommerziellen Zertifizierungsstelle signiert wurde. Das Portal selbst verfügt über ein selbstsigniertes Zertifikat. Bei einem selbstsignierten Zertifikat kann ein Client die Identität des Servers nicht überprüfen, verschlüsselte Inhalte jedoch senden. Durch Ersetzen des selbstsignierten Zertifikats durch ein von einer Zertifizierungsstelle signiertes Zertifikat wird die Sicherheit Ihrer Bereitstellung erheblich erhöht.

Es gibt zwei Möglichkeiten, im Portal ein von einer Zertifizierungsstelle signiertes Zertifikat zu verwenden:

Vollständige Anweisungen zu diesen Vorgängen können Sie den Schritten in den folgenden Abschnitten entnehmen.

Erstellen eines neuen Zertifikats einer Zertifizierungsstelle

Sie können SSL mit einem neuen Zertifikat aktivieren, das von einer internen (Unternehmens-) oder kommerziellen Zertifizierungsstelle signiert wurde. Führen Sie folgende Schritte aus:

Erstellen eines neuen Zertifikats

  1. Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS-Portalverzeichnis an. Die URL hat das Format https://webadaptor.domain.com/arcgis/portaladmin.
  2. Klicken Sie auf Security > SSLCertificates > Generate.
  3. Geben Sie auf der Seite Generate Certificate die folgenden Informationen ein:
    • Alias: Ein eindeutiger Name für das Zertifikat (zum Beispiel portalcert).
    • Key Algorithm: RSA (Standard) oder DSA.
    • Key Size: Hiermit wird zum Erstellen des Zertifikats die Größe der kryptographischen Schlüssel in Bits angegeben. Je größer der Schlüssel, umso schwerer lässt sich die Verschlüsselung umgehen. Jedoch erhöht sich mit der Schlüsselgröße auch die Entschlüsselungsdauer. Bei RSA liegt die empfohlene Größe bei 2048 oder mehr. Bei DSA kann die Schlüsselgröße zwischen 512 und 1024 liegen.
    • Signature Algorithm: Verwenden Sie den Standardwert (SHA1withRSA). Wenn in Ihrem Unternehmen bestimmte Sicherheitsbeschränkungen gelten, kann mit DSA einer der folgenden Algorithmen verwendet werden: SHA256withRSA, SHA384withRSA, SHA512withRSA, SHA1withDSA.
    • Common Name: Der vollständig qualifizierte Domänenname des Portal-Computers.
    • Organizational Unit: Ein Abteilungsname, der für Benutzer Ihrer Site aussagekräftig ist (zum Beispiel GIS Department).
    • Organization: Der Name Ihrer Organisation (zum Beispiel Esri).
    • City or Locality: Der Name Ihres Orts oder Ihres Gebietsschemas (zum Beispiel Redlands).
    • State or Province: Der Name des Bundeslandes oder Kantons (zum Beispiel California).
    • Country Code: Der zweistellige Ländercode des Landes, in dem Ihre Organisation ansässig ist (zum Beispiel US).
    • Validity: Die Gültigkeitsdauer des Zertifikats in Tagen (zum Beispiel 365).
    • Subject Alternative Name: Ein optionaler Parameter für Alternativen zum im SSL-Zertifikat angegebenen allgemeinen Namen. Wenn kein SAN definiert ist, kann der Zugriff auf eine Website (ohne SSL-Zertifikatfehler) nur über den allgemeinen Namen in der URL erfolgen. Mit SAN ermöglicht ein SSL-Zertifikat die Verwendung verschiedener URLs, um auf dieselbe Website zuzugreifen. Mit den URLs https://www.esri.com, https://esri und https://10.60.1.16 kann beispielsweise auf dieselbe Site zugegriffen werden, wenn das SSL-Zertifikat die folgenden Parameterwerte verwendet:

      CN=www.esri.com

      SAN=DNS:esri, IP:10.60.1.16

  4. Klicken Sie auf Generate. Auf der Seite SSL-Zertifikate wird ein Link zu Ihrem Zertifikat angezeigt.

Anfordern der Signatur für dieses Zertifikat bei einer Zertifizierungsstelle

Damit Ihr Zertifikat von Webbrowsern als vertrauenswürdig eingestuft wird, muss es von einer Zertifizierungsstelle, etwa von Ihrer Organisation, Verisign oder Thawte, geprüft und gegensigniert werden.

  1. Klicken Sie auf der Seite SSL-Zertifikate auf den Namen Ihres Zertifikats.
  2. Klicken Sie auf GenerateCSR. Kopieren Sie auf der Seite Generate CSR den Inhalt der Zertifikatsignieranforderung, und fügen Sie ihn in eine Datei ein. Speichern Sie die Datei mit der Erweiterung .csr (zum Beispiel portalcert.csr).
  3. Übermitteln Sie die Zertifikatanforderung an eine Zertifizierungsstelle. Es empfiehlt sich, ein DER (Distinguished Encoding Rules)- oder Base64-verschlüsseltes Zertifikat abzurufen. Wenn die Zertifizierungsstelle den Webservertyp anfordert, für den das Zertifikat bestimmt ist, geben Sie OtherUnknown oder Java Application Server an. Nach dem Überprüfen Ihrer Identität erhalten Sie von der Zertifizierungsstelle eine Datei mit der Erweiterung .crt oder .cer.
  4. Speichern Sie das signierte Zertifikat, das Sie von der Zertifizierungsstelle erhalten haben, auf Ihrem Portal-Computer. Zusätzlich zum signierten Zertifikat stellt die Zertifizierungsstelle auch ein Stammzertifikat aus. Speichern Sie das Stammzertifikat der Zertifizierungsstelle ebenfalls auf dem Portal-Computer.
  5. Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS-Portalverzeichnis an. Die URL hat das Format https://webadaptor.domain.com/arcgis/portaladmin.
  6. Klicken Sie auf Security > SSLCertificates > Import Root or Intermediate Certificate.
  7. Navigieren Sie zum Speicherort des von der Zertifizierungsstelle ausgestellten Stammzertifikats. Klicken Sie auf Import. Wenn die Zertifizierungsstelle noch weitere Zwischenzertifikate ausgestellt hat, importieren Sie diese ebenfalls. Importieren Sie nicht das signierte Zertifikat.
  8. Klicken Sie auf Security > SSLCertificates.
  9. Klicken Sie auf den Namen des Zertifikats, das Sie im vorherigen Abschnitt erstellt haben (zum Beispiel portalcert).
  10. Klicken Sie auf Import Signed Certificate, und navigieren Sie zum Speicherort des signierten Zertifikats, das Sie von der Zertifizierungsstelle erhalten haben.
  11. Klicken Sie auf Import. Das Zertifikat, das Sie im vorangegangenen Abschnitt erstellt haben, wird durch das von der Zertifizierungsstelle signierte Zertifikat ersetzt.

Konfigurieren von Portal for ArcGIS für die Verwendung des Zertifikats einer Zertifizierungsstelle

  1. Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS-Portalverzeichnis an. Die URL hat das Format https://webadaptor.domain.com/arcgis/portaladmin.
  2. Klicken Sie auf Security > SSLCertificates > Update.
  3. Geben Sie im Feld Web server SSL Certificate den Aliasnamen des von der Zertifizierungsstelle signierten Zertifikats ein. Der angegebene Aliasname muss dem Aliasnamen des Zertifikats entsprechen, das im vorangegangenen Abschnitt durch das von der Zertifizierungsstelle signierte Zertifikat ersetzt wurde.
  4. Klicken Sie auf Update.

Ab jetzt wird für SSL das von der Zertifizierungsstelle signierte Zertifikat verwendet.

Importieren des Stammzertifikats in den Windows-Zertifikatspeicher

Wenn das Stammzertifikat der Zertifizierungsstelle noch nicht im Windows-Zertifikatspeicher des Portal-Computers angezeigt wird, muss es importiert werden.

  1. Melden Sie sich an dem Computer an, auf dem Portal for ArcGIS gehostet wird.
  2. Kopieren Sie das von der Zertifizierungsstelle signierte Zertifikat in ein Verzeichnis auf diesem Computer.
  3. Öffnen Sie das Zertifikat, und klicken Sie auf die Registerkarte Zertifikatpfad. Wenn der Zertifikatstatus Dieses Zertifikat ist OK lautet, liegt das Stammzertifikat der Zertifizierungsstelle bereits im Windows-Zertifikatspeicher vor und muss nicht importiert werden. Fahren Sie mit Schritt 8 fort.
  4. Öffnen Sie Zertifikatverwaltung (suchen Sie dazu nach certmgr.msc).
  5. Klicken Sie im Fenster Zertifikatverwaltung auf Vertrauenswürdige Stammzertifizierungsstelle > Zertifikate.
  6. Klicken Sie in der Menüleiste oben auf Aktion > Alle Aufgaben > Importieren.
  7. Klicken Sie im angezeigten Dialogfeld Zertifikatimport-Assistent auf Weiter, und folgen Sie dann den Anweisungen des Assistenten, um das Stammzertifikat der Zertifizierungsstelle zu importieren.
  8. Starten Sie den Computer neu, auf dem Portal for ArcGIS gehostet wird.

Überprüfen des Zugriffs auf das Portal mittels SSL

Testen Sie, ob Sie mit den folgenden URLs per SSL auf das Portal zugreifen können.

RessourceBeispiel-URL

Portal for ArcGIS-Website

https://webadaptor.domain.com/arcgis/home

ArcGIS-Portalverzeichnis

https://webadaptor.domain.com/arcgis/portaladmin
https://webadaptor.domain.com/arcgis/sharing/rest

Verwenden eines vorhandenen Zertifikats einer Zertifizierungsstelle

Wenn Sie bereits über ein Zertifikat verfügen, das von einer internen (Unternehmens-) oder kommerziellen Zertifizierungsbehörde ausgestellt wurde, können Sie dieses Zertifikat verwenden, um SSL zu aktivieren.

Importieren des Stammzertifikats der Zertifizierungsstelle

  1. Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS-Portalverzeichnis an. Die URL hat das Format https://webadaptor.domain.com/arcgis/portaladmin.
  2. Klicken Sie auf Security > SSLCertificates > Import Root or Intermediate Certificate.
  3. Navigieren Sie zum Speicherort des von der Zertifizierungsstelle ausgestellten Stammzertifikats. Klicken Sie auf Import. Wenn die Zertifizierungsstelle noch weitere Zwischenzertifikate ausgestellt hat, importieren Sie diese ebenfalls. Importieren Sie nicht das von der Zertifizierungsstelle signierte Zertifikat.
  4. Starten Sie den Portal for ArcGIS-Dienst neu.

Importieren des vorhandenen Zertifikats einer Zertifizierungsstelle

Vorsicht:

Um das Zertifikat in Ihr Portal zu importieren, müssen das Zertifikat und der zugehörige private Schlüssel im PKCS#12-Format gespeichert sein, das Sie anhand einer Datei mit der Erweiterung ".p12" oder ".pfx" erkennen.

  1. Klicken Sie auf Security > SSLCertificates > Import Existing Server Certificate.
  2. Geben Sie auf der Seite Import Existing Server Certificate die folgenden Informationen an:
    • Certificate password: Geben Sie das Kennwort ein, um die Datei mit dem SSL-Zertifikat zu entsperren.
    • Alias: Geben Sie einen eindeutigen und aussagekräftigen Namen für das Zertifikat ein (zum Beispiel rootcert).
  3. Navigieren Sie zum Speicherort des vorhandenen Zertifikats der Zertifizierungsstelle. Klicken Sie auf Import.

Konfigurieren von Portal for ArcGIS für die Verwendung des Zertifikats einer Zertifizierungsstelle

  1. Klicken Sie auf Security > SSLCertificates > Update.
  2. Geben Sie im Feld Web server SSL Certificate den Aliasnamen des vorhandenen, von der Zertifizierungsstelle signierten Zertifikats ein.
  3. Klicken Sie auf Update.

Ab jetzt wird für SSL das vorhandene, von der Zertifizierungsstelle signierte Zertifikat verwendet.

Importieren des Stammzertifikats in den Windows-Zertifikatspeicher

Wenn das Stammzertifikat der Zertifizierungsstelle noch nicht im Windows-Zertifikatspeicher des Portal-Computers angezeigt wird, muss es importiert werden.

  1. Melden Sie sich an dem Computer an, auf dem Portal for ArcGIS gehostet wird.
  2. Kopieren Sie das von der Zertifizierungsstelle signierte Zertifikat in ein Verzeichnis auf diesem Computer.
  3. Öffnen Sie das Zertifikat, und klicken Sie auf die Registerkarte Zertifikatpfad. Wenn der Zertifikatstatus Dieses Zertifikat ist OK lautet, liegt das Stammzertifikat der Zertifizierungsstelle bereits im Windows-Zertifikatspeicher vor und muss nicht importiert werden. Fahren Sie mit Schritt 8 fort.
  4. Öffnen Sie Zertifikatverwaltung (suchen Sie dazu nach certmgr.msc).
  5. Klicken Sie im Fenster Zertifikatverwaltung auf Vertrauenswürdige Stammzertifizierungsstelle > Zertifikate.
  6. Klicken Sie in der Menüleiste oben auf Aktion > Alle Aufgaben > Importieren.
  7. Klicken Sie im angezeigten Dialogfeld Zertifikatimport-Assistent auf Weiter, und folgen Sie dann den Anweisungen des Assistenten, um das Stammzertifikat der Zertifizierungsstelle zu importieren.
  8. Starten Sie den Computer neu, auf dem Portal for ArcGIS gehostet wird.

Überprüfen des Zugriffs auf das Portal mittels SSL

Testen Sie, ob Sie mit den folgenden URLs per SSL auf das Portal zugreifen können.

RessourceBeispiel-URL

Portal for ArcGIS-Website

https://webadaptor.domain.com/arcgis/home

ArcGIS-Portalverzeichnis

https://webadaptor.domain.com/arcgis/portaladmin
https://webadaptor.domain.com/arcgis/sharing/rest