HTTPS ist eine Option zum Verschlüsseln der Kommunikation zu und von einem Webserver. Außerdem ermöglicht HTTPS einer Clientanwendung die Bestätigung der Identität des Webservers. Bei der Verwendung von HTTPS muss jeder Webserver, für den HTTPS aktiviert ist, ein Zertifikat an die Clients senden. Das Zertifikat enthält eine Identitätserklärung (gis.mycity.gov) und einen öffentlichen Schlüssel, mit dem der Client verschlüsselte Informationen an den Webserver senden kann.
Portal for ArcGIS überträgt oft Informationen, die verschlüsselt werden müssen. Aus diesem Grund ist HTTPS im Portal immer aktiviert. Es wird dringend empfohlen, ein Zertifikat zu verwenden, das von einer Unternehmens- (internen) oder kommerziellen Zertifizierungsstelle signiert wurde. Das Portal selbst verfügt über ein selbstsigniertes Zertifikat. Bei einem selbstsignierten Zertifikat kann ein Client die Identität des Servers nicht überprüfen. Durch Ersetzen des selbstsignierten Zertifikats durch ein von einer Zertifizierungsstelle signiertes Zertifikat wird die Sicherheit Ihrer Bereitstellung erheblich erhöht.
Es gibt zwei Möglichkeiten, im Portal ein von einer Zertifizierungsstelle signiertes Zertifikat zu verwenden:
- Neues, von einer Zertifizierungsstelle signiertes Zertifikat erstellen: Eine Signieranforderung für ein Zertifikat erstellen, es von der Zertifizierungsstelle signieren lassen und dann in das Portal importieren.
- Vorhandenes, von einer Zertifizierungsstelle signiertes Zertifikat verwenden: Ein bereits vorhandenes, dem Portal-Computer zugewiesenes und von einer Zertifizierungsstelle signiertes Zertifikat in das Portal importieren.
Hinweis:
Diese Workflows gelten nur für die HTTPS-Kommunikation mit Portal for ArcGIS über Port 7443. Weitere Informationen zum Erstellen oder Importieren des Zertifikats einer Zertifizierungsstelle für Web Adaptor finden Sie in der Dokumentation des Webservers, auf dem der Web Adaptor installiert ist.
Vollständige Anweisungen zu diesen Vorgängen können Sie den Schritten in den folgenden Abschnitten entnehmen.
Erstellen eines neuen Zertifikats einer Zertifizierungsstelle
Sie können HTTPS mit einem neuen Zertifikat aktivieren, das von einer internen (Unternehmens-) oder kommerziellen Zertifizierungsstelle signiert wurde. Führen Sie folgende Schritte aus:
Erstellen eines neuen Zertifikats
- Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS-Portalverzeichnis an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Klicken Sie auf Security > SSLCertificates > Generate.
- Geben Sie auf der Seite Generate Certificate die folgenden Informationen ein:
- Alias: Ein eindeutiger Name für das Zertifikat (zum Beispiel portalcert).
- Key Algorithm: RSA (Standard) oder DSA.
- Key Size: Hiermit wird zum Erstellen des Zertifikats die Größe der kryptographischen Schlüssel in Bits angegeben. Je größer der Schlüssel, umso schwerer lässt sich die Verschlüsselung umgehen. Jedoch erhöht sich mit der Schlüsselgröße auch die Entschlüsselungsdauer. Bei RSA liegt die empfohlene Größe bei 2048 oder mehr. Bei DSA kann die Schlüsselgröße zwischen 512 und 1024 liegen.
- Signature Algorithm: Verwenden Sie den Standardwert (SHA256withRSA). Wenn in Ihrer Organisation bestimmte Sicherheitsbeschränkungen gelten, kann mit DSA einer der folgenden Algorithmen verwendet werden: SHA384withRSA, SHA512withRSA, SHA1withRSA, SHA1withDSA.
- Common Name: Dieses Feld ist optional und wird für die Abwärtskompatibilität mit älteren Webbrowsern und älterer Software verwendet. Es empfiehlt sich, den vollständigen qualifizierten Domänennamen Ihres Portal-Computers als allgemeinen Namen zu verwenden.
- Organizational Unit: Ein Abteilungsname, der für Benutzer Ihrer Site aussagekräftig ist (zum Beispiel GIS Department).
- Organization: Der Name Ihrer Organisation (zum Beispiel Esri).
- City or Locality: Der Name Ihres Orts oder Ihres Gebietsschemas (zum Beispiel Redlands).
- State or Province: Der Name des Bundeslandes oder Kantons (zum Beispiel California).
- Country Code: Der zweistellige Ländercode des Landes, in dem Ihre Organisation ansässig ist (zum Beispiel US).
- Validity: Die Gültigkeitsdauer des Zertifikats in Tagen (zum Beispiel 365).
- Alternativer Name des Antragstellers: Der alternative Name des Antragstellers (Subject Alternative Name, SAN) dient dazu, das SSL-Zertifikat der Website zu überprüfen, das für diese Website herausgegeben wurde.
Bleibt dieser Parameter leer, wird der vollständig qualifizierte Domänenname des lokalen Computers als Standardwert verwendet. Das Feld SAN unterstützt mehrere Werte. Es muss allerdings den vollständig qualifizierten Domänennamen der Website enthalten. Der SAN-Parameterwert darf keine Leerzeichen enthalten.
Mit SAN ermöglicht ein Zertifikat die Verwendung unterschiedlicher URLs, um auf dieselbe Website zuzugreifen. Mit den URLs https://www.esri.com, https://esri und https://10.60.1.16 kann beispielsweise auf dieselbe Site zugegriffen werden, wenn das Zertifikat die folgenden Parameterwerte verwendet:
CN=www.esri.com
SAN=DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- Klicken Sie auf Generate. Auf der Seite "Certificates" wird ein Link zu Ihrem Zertifikat angezeigt.
Anfordern der Signatur für dieses Zertifikat bei einer Zertifizierungsstelle
Damit Ihr Zertifikat von Webbrowsern als vertrauenswürdig eingestuft wird, muss es von einer Zertifizierungsstelle, etwa von Ihrer Organisation, Verisign oder Thawte, geprüft und gegensigniert werden.
- Klicken Sie auf der Seite "Certificates" auf den Namen Ihres Zertifikats.
- Klicken Sie auf GenerateCSR. Kopieren Sie auf der Seite Generate CSR den Inhalt der Zertifikatsignieranforderung, und fügen Sie ihn in eine Datei ein. Speichern Sie die Datei mit der Erweiterung .csr (zum Beispiel portalcert.csr).
- Übermitteln Sie die Zertifikatanforderung an eine Zertifizierungsstelle. Es empfiehlt sich, ein DER (Distinguished Encoding Rules)- oder Base64-verschlüsseltes Zertifikat abzurufen. Wenn die Zertifizierungsstelle den Webservertyp anfordert, für den das Zertifikat bestimmt ist, geben Sie Other\Unknown oder Java Application Server an. Nach dem Überprüfen Ihrer Identität erhalten Sie von der Zertifizierungsstelle eine Datei mit der Erweiterung .crt oder .cer.
- Speichern Sie das signierte Zertifikat, das Sie von der Zertifizierungsstelle erhalten haben, auf Ihrem Portal-Computer. Zusätzlich zum signierten Zertifikat stellt die Zertifizierungsstelle auch ein Stammzertifikat aus. Speichern Sie das Stammzertifikat der Zertifizierungsstelle ebenfalls auf dem Portal-Computer.
- Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS-Portalverzeichnis an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Klicken Sie auf Security > SSLCertificates > Import Root or Intermediate Certificate.
- Navigieren Sie zum Speicherort des von der Zertifizierungsstelle ausgestellten Stammzertifikats. Klicken Sie auf Import. Wenn die Zertifizierungsstelle noch weitere Zwischenzertifikate ausgestellt hat, importieren Sie diese ebenfalls. Portal for ArcGIS wird für jedes importierte Zertifikat automatisch neu gestartet. Importieren Sie nicht das signierte Zertifikat.
- Klicken Sie auf Security > SSLCertificates.
- Klicken Sie auf den Namen des Zertifikats, das Sie im vorherigen Abschnitt erstellt haben (zum Beispiel portalcert).
- Klicken Sie auf Import Signed Certificate, und navigieren Sie zum Speicherort des signierten Zertifikats, das Sie von der Zertifizierungsstelle erhalten haben.
- Klicken Sie auf Import. Das Zertifikat, das Sie im vorangegangenen Abschnitt erstellt haben, wird durch das von der Zertifizierungsstelle signierte Zertifikat ersetzt.
Konfigurieren von Portal for ArcGIS für die Verwendung des Zertifikats einer Zertifizierungsstelle
- Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS-Portalverzeichnis an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Klicken Sie auf Security > SSLCertificates > Update.
- Geben Sie im Feld Web server SSL Certificate den Aliasnamen des von der Zertifizierungsstelle signierten Zertifikats ein. Der angegebene Aliasname muss dem Aliasnamen des Zertifikats entsprechen, das im vorangegangenen Abschnitt durch das von der Zertifizierungsstelle signierte Zertifikat ersetzt wurde.
- Klicken Sie auf Update.
Ab jetzt wird für HTTPS das von der Zertifizierungsstelle signierte Zertifikat verwendet.
Überprüfen des Zugriffs auf das Portal mittels HTTPS
Testen Sie, ob Sie mit der folgenden URL per HTTPS auf das Portal zugreifen können: https://portalhost.domain.com:7443/arcgis/home.
Verwenden eines vorhandenen Zertifikats einer Zertifizierungsstelle
Wenn Sie bereits über ein Zertifikat verfügen, das von einer internen (Unternehmens-) oder kommerziellen Zertifizierungsbehörde ausgestellt wurde, können Sie dieses Zertifikat verwenden, um HTTPS zu aktivieren.
Importieren des Stammzertifikats der Zertifizierungsstelle
- Melden Sie sich als Administrator Ihrer Organisation beim ArcGIS-Portalverzeichnis an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Klicken Sie auf Security > SSLCertificates > Import Root or Intermediate Certificate.
- Navigieren Sie zum Speicherort des von der Zertifizierungsstelle ausgestellten Stammzertifikats. Klicken Sie auf Import. Wenn die Zertifizierungsstelle noch weitere Zwischenzertifikate ausgestellt hat, importieren Sie diese ebenfalls. Importieren Sie nicht das von der Zertifizierungsstelle signierte Zertifikat.
- Starten Sie den Portal for ArcGIS-Service neu.
Importieren des vorhandenen Zertifikats einer Zertifizierungsstelle
Vorsicht:
Um das Zertifikat in Ihr Portal zu importieren, müssen das Zertifikat und der zugehörige private Schlüssel im PKCS#12-Format gespeichert sein, das Sie anhand einer Datei mit der Erweiterung ".p12" oder ".pfx" erkennen.
- Klicken Sie auf Security > SSLCertificates > Import Existing Server Certificate.
- Geben Sie auf der Seite Import Existing Server Certificate die folgenden Informationen an:
- Zertifikatkennwort: Geben Sie das Kennwort ein, um die Datei mit dem Zertifikat zu entsperren.
- Alias: Geben Sie einen eindeutigen und aussagekräftigen Namen für das Zertifikat ein (zum Beispiel rootcert).
- Navigieren Sie zum Speicherort des vorhandenen Zertifikats der Zertifizierungsstelle. Klicken Sie auf Import.
Konfigurieren von Portal for ArcGIS für die Verwendung des Zertifikats einer Zertifizierungsstelle
- Klicken Sie auf Security > SSLCertificates > Update.
- Geben Sie im Feld Web server SSL Certificate den Aliasnamen des vorhandenen, von der Zertifizierungsstelle signierten Zertifikats ein.
- Klicken Sie auf Update.
Ab jetzt wird für HTTPS das vorhandene, von der Zertifizierungsstelle signierte Zertifikat verwendet.
Überprüfen des Zugriffs auf das Portal mittels HTTPS
Testen Sie, ob Sie mit der folgenden URL per HTTPS auf das Portal zugreifen können: https://portalhost.domain.com:7443/arcgis/home.