Ein selbstsigniertes SSL-Zertifikat wird für die folgenden ArcGIS Data Store-Interaktionen verwendet:
- Für den Zugriff des Data Store-Konfigurationsassistenten auf die ArcGIS Data Store-Dateien über einen Webserver
- Für die Kommunikation über den Webserver zwischen dem Hosting-Server und den ArcGIS Data Store-Computern
- Für die Kommunikation über Ports zwischen und innerhalb der einzelnen Computer in einem Data Store vom Typ "relational", einem Data Store vom Typ "Kachel-Cache", einem Objektspeicher oder einem Graph Store
- Für die Kommunikation über Ports zwischen dem Hosting-Sever und einem ArcGIS Data Store-Computer
Wenn für Ihre Organisation die Sicherung dieser Interaktionen durch ein von einer Zertifizierungsstelle (CA) überprüftes und signiertes SSL-Zertifikat oder ein für Ihre Domäne generiertes Zertifikat erforderlich ist, können Sie das Dienstprogramm replacesslcertificate verwenden, um das selbstsignierte Zertifikat durch ein von einer Zertifizierungsstelle signiertes Zertifikat oder ein Domänenzertifikat zu ersetzen.
Das Zertifikat muss im Format PKCS12 gespeichert sein, die Dateierweiterung .pfx oder .p12 besitzen und in alle Computer importiert werden, auf denen ArcGIS Data Store installiert ist.
Gehen Sie wie folgt vor, um das SSL-Zertifikat auf einem ArcGIS Data Store-Computer zu aktualisieren:
- Fordern Sie ein SSL-Zertifikat von einer Zertifizierungsstelle an oder generieren Sie ein Domänenzertifikat.
- Erstellen Sie eine Datei im PKCS12-Format und legen Sie ein Kennwort und einen Aliasnamen für die Datei fest.
- Führen Sie das Dienstprogramm replacesslcertificate zum Ersetzen des selbstsignierten Zertifikats für einen ArcGIS Data Store-Computer aus.
- Wenn Sie das für die Kommunikation mit dem Webserver verwendete Zertifikat ersetzen möchten, verwenden Sie das Dienstprogramm replacesslcertificate mit der Option webserver.
- Wenn Sie das für die Kommunikation über Ports und zwischen Data-Store-Computern verwendete Zertifikat ersetzen möchten, führen Sie das Dienstprogramm replacesslcertificate mit der entsprechenden Data-Store-Option aus.
In diesem Beispiel befindet sich die Zertifikatsdatei (casignedcert.pfx) im Verzeichnis cacerts, besitzt den Aliasnamen myfilealias, ist mit dem Kennwort Sec00rit geschützt und wird als Ersatz für das für die Kommunikation mit dem Webserver verwendete Zertifikat verwendet.
./replacesslcertificate.sh /usr/cacerts/casignedcert.pfx "Sec00rit" myfilealias --option webserverIm folgenden Beispiel befindet sich die Zertifikatsdatei (casignedcert2.pfx) im Verzeichnis certs, besitzt den Aliasnamen reldscert, ist mit dem Kennwort S00per$ecret geschützt und wird als Ersatz für das Zertifikat verwendet, das für die Kommunikation zwischen dem Computer des Data Store vom Typ "relational" über Port 9876, die Kommunikation über den Webserver über Port 2443 und die Kommunikation für Webhooks über den Port 45671 verwendet wird.
./replacesslcertificate.sh /usr/cacerts/casignedcert2.pfx "S00per$ecret" reldscert --option relationalDadurch wird das Zertifikat für den Computer aktualisiert, auf dem das Dienstprogramm ausgeführt wird.
- Falls Sie über mehrere ArcGIS Data Store-Computer verfügen, aktualisieren Sie jeweils deren Zertifikate.
Wenn Ihre Bereitstellung beispielsweise einen Data Store vom Typ "relational" mit zwei Computern und einen Objektspeicher mit drei Computern umfasst, führen Sie das Dienstprogramm auf allen fünf Computern aus.
Überprüfung, ob das CA-Zertifikat für die Kommunikation verwendet wird
Um zu überprüfen, ob das Zertifikat des Webservers ordnungsgemäß aktualisiert wurde, öffnen Sie einen Browser und geben Sie die URL für den Data Store-Konfigurationsassistenten ein. Die URL hat das Format https://<fully qualified data store machine name>:2443/arcgis/datastore. Wenn sich der Assistent öffnet, ohne eine Sicherheitswarnung zurückzugeben, wurde das SSL-Zertifikat für die Kommunikation mit dem Webserver erfolgreich aktualisiert.
Sie können OpenSSL-Befehle herunterladen und ausführen, um sicherzustellen, dass der Zertifikatpfad für die Kommunikation über Ports keine selbstsignierten Zertifikate mehr enthält.