Skip To Content

Importieren eines Zertifikats in das Portal

HTTPS ist eine Option zum Verschlüsseln der Kommunikation zu und von einem Webserver. Bei HTTPS kann zudem eine Client-Anwendung die Identität des Webservers bestätigen. Bei der Verwendung von HTTPS muss jeder Webserver, für den HTTPS aktiviert ist, ein Zertifikat an die Clients senden. Das Zertifikat enthält eine Identitätserklärung (gis.mycity.gov) und einen öffentlichen Schlüssel, mit dem der Client verschlüsselte Informationen an den Webserver senden kann.

Portal for ArcGIS überträgt oft Informationen, die verschlüsselt werden müssen. Aus diesem Grund ist HTTPS im Portal immer aktiviert. Es wird empfohlen, dass das von Ihnen verwendete Zertifikat von einer Unternehmenszertifizierungsstelle (intern) oder einer kommerziellen Zertifizierungsstelle (CA) signiert ist. Das Portal selbst verfügt über ein selbstsigniertes Zertifikat. Bei einem selbstsignierten Zertifikat kann ein Client die Identität des Servers nicht überprüfen. Indem ein selbstsigniertes Zertifikat durch ein von einer Zertifizierungsstelle signiertes Zertifikat ersetzt wird, erhöht sich die Sicherheit Ihrer Bereitstellung.

Es gibt zwei Möglichkeiten, im Portal ein von einer Zertifizierungsstelle signiertes Zertifikat zu verwenden:

Hinweis:

Diese Workflows gelten nur für die HTTPS-Kommunikation mit Portal for ArcGIS über Port 7443. Wenn Sie ein von der Zertifizierungsstelle (CA) signiertes Zertifikat für den Web Adaptor generieren oder importieren möchten, ziehen Sie die Dokumentation für den Webserver zurate, auf dem der Web Adaptor installiert ist.

Vollständige Anweisungen zu diesen Vorgängen können Sie den Schritten in den folgenden Abschnitten entnehmen.

Erstellen eines neuen Zertifikats einer Zertifizierungsstelle (CA)

Sie können HTTPS mit einem neuen Zertifikat aktivieren, das von einer internen (Unternehmens-) oder kommerziellen Zertifizierungsstelle signiert wurde. Die Schritte lauten wie folgt:

Erstellen eines neuen Zertifikats

Führen Sie zum Generieren eines neuen Zertifikats die folgenden Schritte aus:

  1. Melden Sie sich als Administrator Ihrer Organisation beim Portal-Administratorverzeichnis an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Klicken Sie auf Security > SSLCertificates > Generate.

    Hinweis:
    Wenn es sich um ein Portal mit hoher Verfügbarkeit handelt, müssen Sie stattdessen zu Machines > [Computer] > SSLCertificates > Generate navigieren. Wiederholen Sie anschließend die folgenden Schritte für jeden Portal-Computer.

  3. Geben Sie auf der Seite Generate Certificate die folgenden Informationen ein:
    • Alias: Ein eindeutiger Name für das Zertifikat (zum Beispiel portalcert).
    • Key Algorithm: RSA (Standard) oder DSA.
    • Key Size: Hiermit wird zum Erstellen des Zertifikats die Größe der kryptographischen Schlüssel in Bits angegeben. Je größer der Schlüssel, umso schwerer lässt sich die Verschlüsselung umgehen. Jedoch erhöht sich mit der Schlüsselgröße auch die Entschlüsselungsdauer. Bei RSA liegt die empfohlene Größe bei 2048 oder mehr. Bei DSA kann die Schlüsselgröße zwischen 512 und 1024 liegen.
    • Signature Algorithm: Verwenden Sie die Standardeinstellung (SHA256withRSA). Wenn für Ihre Organisation bestimmte Sicherheitsbeschränkungen gelten, kann einer der folgenden Algorithmen für DSA verwendet werden: SHA384withRSA, SHA512withRSA, SHA1withRSA oder SHA1withDSA.
    • Common Name: Dieses Feld ist optional und wird für die Abwärtskompatibilität mit älteren Webbrowsern und Softwareanwendungen verwendet. Es wird empfohlen, hier den vollständig qualifizierten Domänennamen Ihres Portal-Computers als allgemeinen Namen zu verwenden.
    • Organizational Unit: Ein Abteilungsname, der für Benutzer Ihrer Site aussagekräftig ist (zum Beispiel GIS Department).
    • Organization: Der Name Ihrer Organisation (zum Beispiel Esri).
    • City or Locality: Der Name Ihres Ortes oder Ihres Gebietsschemas (zum Beispiel Redlands).
    • State or Province: Der Name des Bundeslandes oder Kantons (zum Beispiel California).
    • Country Code: Der zweistellige Ländercode des Landes, in dem Ihre Organisation ansässig ist (zum Beispiel US).
    • Validity: Die Gültigkeitsdauer des Zertifikats in Tagen (zum Beispiel 365).
    • Alternativer Name des Antragstellers: Der alternative Name des Antragstellers (Subject Alternative Name, SAN) dient dazu, das SSL-Zertifikat der Website zu überprüfen, das für diese Website herausgegeben wurde.

      Bleibt dieser Parameter leer, wird der vollständig qualifizierte Domänenname des lokalen Computers als Standardwert verwendet. Das Feld SAN unterstützt mehrere Werte. Es muss allerdings den vollständig qualifizierten Domänennamen der Website enthalten. Der SAN-Parameterwert darf keine Leerzeichen enthalten.

      Mit SAN ermöglicht ein Zertifikat die Verwendung unterschiedlicher URLs, um auf dieselbe Website zuzugreifen. Mit den URLs https://www.esri.com, https://esri und https://10.60.1.16 kann beispielsweise auf dieselbe Site zugegriffen werden, wenn das Zertifikat mit den folgenden Parameterwerten erstellt wird:

      CN=www.esri.com

      SAN=DNS:www.esri.com,DNS:esri,IP:10.60.1.16

  4. Klicken Sie auf Generate. Auf der Seite "Certificates" wird ein Link zu Ihrem Zertifikat angezeigt.

Anfordern der Signatur für dieses Zertifikat bei einer Zertifizierungsstelle

Damit Webbrowser Ihrem Zertifikat vertrauen, muss es von einer Zertifizierungsstelle wie Ihrer Organisation, Verisign oder Thawte geprüft und gegensigniert werden.

  1. Klicken Sie auf der Seite "Certificates" auf den Namen Ihres Zertifikats.
  2. Klicken Sie auf GenerateCSR. Kopieren Sie auf der Seite Generate CSR den Inhalt der Zertifikatsignieranforderung, und fügen Sie ihn in eine Datei ein. Speichern Sie die Datei mit der Erweiterung .csr (zum Beispiel portalcert.csr).
  3. Übermitteln Sie die Zertifikatsignieranforderung an eine Zertifizierungsstelle. Es wird empfohlen, ein Zertifikat mit DER-Verschlüsselung (Distinguished Encoding Rules) oder Base64-Verschlüsselung anzufordern. Wenn die Zertifizierungsstelle den Webservertyp anfordert, für den das Zertifikat bestimmt ist, geben Sie Weitere\Unbekannt oder Java-Anwendungsserver an. Nach dem Überprüfen Ihrer Identität erhalten Sie von der Zertifizierungsstelle eine Datei mit der Erweiterung .crt oder .cer.
  4. Speichern Sie das signierte Zertifikat, das Sie von der Zertifizierungsstelle erhalten haben, auf Ihrem Portal-Computer. Zusätzlich zum signierten Zertifikat stellt die Zertifizierungsstelle auch ein Stammzertifikat aus. Speichern Sie das Stammzertifikat der Zertifizierungsstelle ebenfalls auf dem Portal-Computer.
  5. Melden Sie sich als Administrator Ihrer Organisation beim Portal-Administratorverzeichnis an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  6. Klicken Sie auf Security > SSLCertificates > Import Root or Intermediate.

    Hinweis:
    Wenn es sich um ein Portal mit hoher Verfügbarkeit handelt, müssen Sie stattdessen zu Machines > [Computer] > SSLCertificates > Import Root or Intermediate navigieren. Wiederholen Sie anschließend die folgenden Schritte für jeden Portal-Computer.

  7. Navigieren Sie zu dem Speicherort des Stammzertifikats, das von der Zertifizierungsstelle bereitgestellt wird. Klicken Sie auf Import. Wenn die Zertifizierungsstelle zusätzliche Zwischenzertifikate ausgestellt hat, importieren Sie diese ebenfalls. Portal for ArcGIS wird für jedes importierte Zertifikat automatisch neu gestartet. Importieren Sie nicht das signierte Zertifikat.
  8. Kehren Sie zur Seite SSLCertificates zurück.
  9. Klicken Sie auf den Namen des Zertifikats, das Sie im vorherigen Abschnitt erstellt haben (zum Beispiel portalcert).
  10. Klicken Sie auf Import Signed Certificate, und navigieren Sie zum Speicherort des signierten Zertifikats, das Sie von der Zertifizierungsstelle erhalten haben.
  11. Klicken Sie auf Importieren. Das Zertifikat, das Sie im vorangegangenen Abschnitt erstellt haben, wird durch das von der Zertifizierungsstelle signierte Zertifikat ersetzt.
  12. Portal for ArcGIS wird automatisch neu gestartet. Wenn der Neustart abgeschlossen ist, wird das Portal für das von Ihnen angegebene Zertifikat konfiguriert.

Konfigurieren der Portal for ArcGIS-Site für die Verwendung des Zertifikats einer Zertifizierungsstelle (CA)

Zum Konfigurieren von Portal for ArcGIS für die Verwendung des von einer Zertifizierungsstelle signierten Zertifikats, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich als Administrator Ihrer Organisation beim Portal-Administratorverzeichnis an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Klicken Sie auf Security > SSLCertificates > Update.

    Hinweis:
    Wenn es sich um ein Portal mit hoher Verfügbarkeit handelt, müssen Sie stattdessen zu Machines > [Computer] > SSLCertificates > Updatenavigieren. Wiederholen Sie anschließend die folgenden Schritte für jeden Portal-Computer.

  3. Geben Sie im Feld Web server SSL Certificate den Aliasnamen des von der Zertifizierungsstelle signierten Zertifikats ein. Der angegebene Aliasname muss dem Aliasnamen des Zertifikats entsprechen, das im vorangegangenen Abschnitt durch das von der Zertifizierungsstelle signierte Zertifikat ersetzt wurde.
  4. Klicken Sie auf Update.

Ab jetzt wird für HTTPS das von der Zertifizierungsstelle signierte Zertifikat verwendet.

Überprüfen des Zugriffs auf das Portal mittels HTTPS

Probieren Sie die folgende URL aus, um zu prüfen, ob Sie mittels HTTPS auf das Portal zugreifen können: https://portalhost.domain.com:7443/arcgis/home.

Verwenden eines vorhandenen Zertifikats einer Zertifizierungsstelle

Wenn Sie bereits über ein Zertifikat verfügen, das von einer internen (Unternehmens-) oder kommerziellen Zertifizierungsbehörde ausgestellt wurde, können Sie dieses Zertifikat verwenden, um HTTPS zu aktivieren.

Importieren eines vorhandenen Zertifikats einer Zertifizierungsstelle

Vorsicht:

Um das Zertifikat in Ihr Portal zu importieren, müssen das Zertifikat und der zugehörige private Schlüssel im PKCS#12-Format gespeichert werden, das Sie anhand der Dateierweiterung .p12 oder .pfx erkennen.

  1. Melden Sie sich als Administrator Ihrer Organisation beim Portal-Administratorverzeichnis an. Die URL hat das Format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Klicken Sie auf Security > SSLCertificates > Import Existing Server Certificate.

    Hinweis:
    Wenn es sich um ein Portal mit hoher Verfügbarkeit handelt, müssen Sie stattdessen zu Machines > [Computer] > SSLCertificates > Import Existing Server Certificate navigieren. Wiederholen Sie anschließend die folgenden Schritte für jeden Portal-Computer.

  3. Geben Sie auf der Seite Import Existing Server Certificate die folgenden Informationen an:
    • Zertifikatkennwort: Geben Sie das Kennwort ein, um die Datei mit dem Zertifikat zu entsperren.
    • Alias: Geben Sie einen eindeutigen und aussagekräftigen Namen für das Zertifikat ein (zum Beispiel rootcert).
    • Datei: Navigieren Sie zum Speicherort des vorhandenen Zertifikats der Zertifizierungsstelle.
    • Zertifikatskette importieren: Bei Auswahl dieser Option werden alle in der .pfx- oder .p12-Datei enthaltenen Stamm- oder Zwischenzertifikate ebenfalls importiert. Der Alias für diese Zertifikate stimmt mit dem oben eingegebenen Alias überein. Je nach Zertifikatstyp wird _root oder _intermediate an den Alias angehängt.
  4. Klicken Sie auf Importieren.

Importieren des Stammzertifikats der Zertifizierungsstelle

Nach dem Importieren eines vorhandenen Zertifikats einer Zertifizierungsstelle sind die Stamm- und Zwischenzertifikate möglicherweise bereits importiert. In diesem Fall werden sie unter Sicherheit > SSLCertificates aufgeführt.

Falls sie nicht importiert wurden oder ein zusätzliches Stamm- oder Zwischenzertifikat erforderlich ist, führen Sie die folgenden Schritte aus:

  1. Klicken Sie auf Security > SSLCertificates > Import Root or Intermediate.

    Hinweis:
    Wenn es sich um ein Portal mit hoher Verfügbarkeit handelt, müssen Sie stattdessen zu Machines > [Computer] > SSLCertificates > Import Root or Intermediate navigieren. Wiederholen Sie anschließend die folgenden Schritte für jeden Portal-Computer.

  2. Navigieren Sie zu dem Speicherort des Stammzertifikats, das von der Zertifizierungsstelle bereitgestellt wird. Klicken Sie auf Import. Wenn die Zertifizierungsstelle zusätzliche Zwischenzertifikate ausgestellt hat, importieren Sie diese ebenfalls. Importieren Sie nicht das von der Zertifizierungsstelle signierte Zertifikat.
  3. Starten Sie den Portal for ArcGIS-Service neu.

Konfigurieren der Portal for ArcGIS-Site für die Verwendung des Zertifikats einer Zertifizierungsstelle (CA)

Zum Konfigurieren von Portal for ArcGIS für die Verwendung des von einer Zertifizierungsstelle signierten Zertifikats, führen Sie die folgenden Schritte aus:

  1. Klicken Sie auf Security > SSLCertificates > Update.

    Hinweis:
    Wenn es sich um ein Portal mit hoher Verfügbarkeit handelt, müssen Sie stattdessen zu Machines > [Computer] > SSLCertificates > Updatenavigieren. Wiederholen Sie anschließend die folgenden Schritte für jeden Portal-Computer.

  2. Geben Sie im Feld Web server SSL Certificate den Aliasnamen des vorhandenen, von der Zertifizierungsstelle signierten Zertifikats ein.
  3. Klicken Sie auf Update.

Das vorhandene, von der Zertifizierungsstelle signierte Zertifikat wird für HTTPS verwendet.

Überprüfen des Zugriffs auf das Portal mittels HTTPS

Probieren Sie die folgende URL aus, um zu prüfen, ob Sie mittels HTTPS auf das Portal zugreifen können: https://portalhost.domain.com:7443/arcgis/home.