Aktivieren von SSL mit einem neuen Zertifikat einer Zertifizierungsstelle
In diesem Thema
- Erstellen eines neuen selbstsignierten Zertifikats
- Anfordern der Signatur für dieses Zertifikat bei einer Zertifizierungsstelle
- Konfigurieren von ArcGIS for Server für die Verwendung des Zertifikats einer Zertifizierungsstelle
- Konfigurieren der GIS-Server in Ihrer Bereitstellung
- Importieren des Stammzertifikats in den Windows-Zertifikatspeicher
- Aktivieren von SSL für Ihre Site
- Zugreifen auf die Site mit SSL
In diesem Thema wird erläutert, wie Sie SSL für ArcGIS for Server mit einem Zertifikat aktivieren, das von einer Zertifizierungsstelle signiert wurde. Folgende Schritte sind zum Aktivieren von SSL mit dem Zertifikat einer Zertifizierungsstelle erforderlich:
- Erstellen eines neuen selbstsignierten Zertifikats
- Anfordern der Signatur für dieses Zertifikat bei einer Zertifizierungsstelle
- Konfigurieren von ArcGIS for Server für die Verwendung des Zertifikats einer Zertifizierungsstelle
- Konfigurieren der GIS-Server in Ihrer Bereitstellung
- Importieren des Stammzertifikats in den Windows-Zertifikatspeicher
- Aktivieren von SSL für Ihre Site
- Zugreifen auf die Site mit SSL
Erstellen eines neuen selbstsignierten Zertifikats
- Melden Sie sich beim ArcGIS Server Administrator Directory unter http://gisserver.domain.com:6080/arcgis/admin an.
- Navigieren Sie zu machines > [Computername] > sslcertificates.
- Klicken Sie auf generate.
- Geben Sie Werte für die Parameter auf dieser Seite an:
Option Beschreibung Alias
Ein eindeutiger und aussagekräftiger Name für das Zertifikat.
Key Algorithm
Wählen Sie RSA (Standard) oder DSA aus.
Key Size
Hiermit wird die Größe der kryptografischen Schlüssel in Bits angegeben, die für die Erstellung des Zertifikats generiert werden. Je größer der Schlüssel, umso schwerer lässt sich die Verschlüsselung umgehen. Jedoch erhöht sich mit der Schlüsselgröße auch die Entschlüsselungsdauer. Bei DSA kann die Schlüsselgröße zwischen 512 und 1024 liegen. Bei RSA liegt die empfohlene Größe bei 2048 oder mehr.
Signature Algorithm
Verwenden Sie den Standardwert (SHA1withRSA). Wenn für Ihre Organisation bestimmte Sicherheitsbeschränkungen gelten, kann einer der folgenden Algorithmen für DSA verwendet werden: SHA256withRSA, SHA384withRSA, SHA512withRSA, SHA1withDSA.
Common Name
Verwenden Sie den Domänennamen des Servernamens als allgemeinen Namen.
Wenn auf Ihren Server über das Internet, d. h. über die URL https://www.gisserver.com:6443/arcgis/ zugegriffen wird, verwenden Sie www.gisserver.com als allgemeinen Namen.
Wenn auf Ihren Server nur über das lokale Netzwerk (Local Area Network, LAN), d. h. über die URL https://gisserver.domain.com:6443/arcgis zugegriffen wird, verwenden Sie gisserver als allgemeinen Namen.
Organizational Unit
Der Name der organisatorischen Einheit, z. B. GIS-Abteilung.
Organisation=
Der Name der Organisation, z. B. Esri.
City or Locality
Der Name des Ortes, z. B. Redlands.
State or Province
Der vollständige Name des Bundeslandes oder des Kantons, z. B. Kalifornien.
Country Code
Die Länderabkürzung, z. B. US.
Validity
Die Gültigkeitsdauer des Zertifikats in Tagen, z. B. 365
Alternativer Name des Antragstellers
Der alternative Antragstellername (Subject Alternative Name, SAN) ist ein optionaler Parameter, der den im SSL-Zertifikat angegebenen allgemeinen Namen definiert. Der SAN-Parameterwert darf keine Leerstellen enthalten.
Wenn kein SAN definiert ist, kann der Zugriff auf eine Website (ohne SSL-Zertifikatfehler) nur über den allgemeinen Namen in der URL erfolgen. Wenn ein SAN definiert und ein DNS-Name vorhanden ist, kann der Zugriff auf die Website nur über die in der SAN aufgelisteten Elemente erfolgen. Bei Bedarf können mehrere DNS-Namen angegeben werden. Mit den URLs https://www.esri.com, https://esri und https://10.60.1.16 kann beispielsweise auf dieselbe Site zugegriffen werden, wenn das SSL-Zertifikat mit dem folgenden SAN-Parameterwert erstellt wird:
DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- Klicken Sie auf Generate, um das Zertifikat zu erstellen.
Anfordern der Signatur für dieses Zertifikat bei einer Zertifizierungsstelle
Damit Ihr Zertifikat von Webbrowsern als vertrauenswürdig eingestuft wird, muss es von einer bekannten Zertifizierungsstelle wie Verisign oder Thawte geprüft und gegensigniert werden.
- Öffnen Sie das selbstsignierte Zertifikat, das Sie im vorherigen Abschnitt erstellt haben, und klicken Sie auf generateCSR. Kopieren Sie die Inhalte in eine Datei (in der Regel mit der Erweiterung *.csr).
- Übermitteln Sie die Zertifikatanforderung an eine Zertifizierungsstelle Ihrer Wahl. Sie können ein DER (Distinguished Encoding Rules)- oder Base64-verschlüsseltes Zertifikat abrufen. Wenn die Zertifizierungsstelle den Webservertyp anfordert, für den das Zertifikat bestimmt ist, geben Sie Weitere\Unbekannt oder Java-Anwendungsserver an. Nach dem Überprüfen Ihrer Identität erhalten Sie eine Datei mit der Erweiterung *.crt oder *.cer.
- Speichern Sie das signierte Zertifikat, das Sie von der Zertifizierungsstelle erhalten haben, auf Ihrem Computer. Zusätzlich zum signierten Zertifikat stellt die Zertifizierungsstelle auch ein Stammzertifikat aus. Speichern Sie das Stammzertifikat ebenfalls auf dem Computer.
- Melden Sie sich beim ArcGIS Server Administrator Directory an: http://gisserver.domain.com:6080/arcgis/admin.
- Klicken Sie auf machines > [Computername] > sslcertificates > importRootOrIntermediate, um das von der Zertifizierungsstelle bereitgestellte Stammzertifikat zu importieren. Wurden sonstige zusätzliche Zwischenzertifikate ausgestellt, importieren Sie diese ebenfalls.
- Navigieren Sie zu machines > [Computername] > sslcertificates.
- Klicken Sie auf den Namen des selbstsignierten Zertifikats, das Sie an die Zertifizierungsstelle übermittelt haben.
- Klicken Sie auf importSignedCertificate, und navigieren Sie zu dem Speicherort des signierten Zertifikats, das Sie von der Zertifizierungsstelle erhalten haben.
- Klicken Sie auf Senden. Dadurch wird das selbstsignierte Zertifikat, das Sie im vorangegangenen Abschnitt erstellt haben, durch das von der Zertifizierungsstelle signierte Zertifikat ersetzt.
Konfigurieren von ArcGIS for Server für die Verwendung des Zertifikats einer Zertifizierungsstelle
Hinweis:
Die CRL Distribution Points (CDP), die in dem von der Zertifizierungsstelle signierten Zertifikat definiert sind, müssen gültig sein und der bzw. die Computer, auf dem/denen der ArcGIS-Server gehostet wird, muss/müssen darauf zugreifen können. Wenn die im SSL-Zertifikat definierten CDP ungültig sind oder nicht darauf zugegriffen werden kann, da kein Internetzugriff oder Netzwerk verfügbar ist oder die Firewall-Einstellungen dies verhindern, schlägt die Veröffentlichung in ArcGIS for Desktop fehl. Um dieses Problem zu umgehen, führen Sie die Schritte im Problem Ich kann keinen Service auf einer ArcGIS- Server-Site veröffentlichen, die ein von einer Zertifizierungsstelle (CA) ausgegebenes SSL-Zertifikat verwendet im Thema "Allgemeine Probleme und Lösungen" aus.
- Melden Sie sich unter http://gisserver.domain.com:6080/arcgis/admin beim ArcGIS Server Administrator Directory an.
- Navigieren Sie zu machines > [Computername].
- Klicken Sie auf edit.
- Geben Sie den Namen des signierten Zertifikats in das Feld Web server SSL Certificate ein. Der angegebene Name sollte dem Aliasnamen des selbstsignierten Zertifikats entsprechen, das durch das von der Zertifizierungsstelle signierte Zertifikat im vorangegangenen Abschnitt ersetzt wurde.
- Klicken Sie auf Änderungen speichern, um die Änderungen anzuwenden.
- Überprüfen Sie die Eigenschaft Web server SSL Certificate auf der aktuellen Seite, um sicherzustellen, dass das gewünschte SSL-Zertifikat verwendet wird.
Konfigurieren der GIS-Server in Ihrer Bereitstellung
Wenn Sie ArcGIS for Server auf mehreren Computern bereitgestellt haben, müssen Sie für jeden GIS-Server in Ihrer Site ein Zertifikat bei der Zertifizierungsstelle anfordern und konfigurieren.
Importieren des Stammzertifikats in den Windows-Zertifikatspeicher
Wenn das Stammzertifikat der Zertifizierungsstelle nicht im Windows-Zertifikatspeicher vorliegt, muss es importiert werden.
- Melden Sie an einem Computer an, auf dem ArcGIS for Server gehostet wird.
- Kopieren Sie das signierte Zertifikat, das Sie von der Zertifizierungsstelle erhalten haben, auf diesen Computer.
- Öffnen Sie das Zertifikat, und klicken Sie auf die Registerkarte Zertifikatpfad. Wenn der Zertifikatstatus Dieses Zertifikat ist OK. lautet, liegt das Stammzertifikat der Zertifizierungsstelle im Windows-Zertifikatspeicher vor und muss nicht importiert werden. Fahren Sie mit Schritt 9 fort.
- Kopieren Sie das Stammzertifikat in einen Speicherort auf diesem Computer.
- Öffnen Sie die Zertifikatverwaltung, indem Sie auf die Schaltfläche Start klicken, certmgr.msc in das Suchfeld eingeben und die EINGABETASTE drücken.
- Klicken Sie im Fenster Zertifikatverwaltung auf Vertrauenswürdige Stammzertifizierungsstelle, und auf Zertifikate.
- Klicken Sie in der Menüleiste oben auf Aktion, und wählen Sie Alle Aufgaben > Importieren aus.
- Klicken Sie im angezeigten Dialogfeld Zertifikatimport-Assistent auf Weiter, und folgen Sie den Anweisungen des Assistenten, um das Stammzertifikat zu importieren.
- Wiederholen Sie die Schritte 1 bis 8 für jeden GIS-Server der Site.
- Starten Sie jeden GIS-Server der Site neu.
Aktivieren von SSL für Ihre Site
- Melden Sie sich beim ArcGIS Server Administrator Directory unter http://gisserver.domain.com:6080/arcgis/admin an.
- Navigieren Sie zu security > config > update.
- Wählen Sie für den Parameter Protocol die Option HTTP and HTTPS, und klicken Sie auf Update. Die ArcGIS-Server-Site wird automatisch neu gestartet.
- Überprüfen Sie, ob Sie auf die URL https://gisserver.domain.com:6443/arcgis/admin zugreifen können, nachdem die Site neu gestartet wurde. Wenn Sie keine Antwort von dieser URL erhalten, konnte ArcGIS-Server das angegebene SSL-Zertifikat nicht verwenden. Überprüfen Sie das SSL-Zertifikat, und konfigurieren Sie im ArcGIS-Server die Verwendung eines neuen oder anderen SSL-Zertifikats.
- Wenn Sie auf die URL https://gisserver.domain.com:6443/arcgis/admin zugreifen können, navigieren Sie zu security > config > update.
- Wählen Sie für den Parameter Protocol die Option HTTPS Only, und klicken Sie auf Update.
Hinweis:
Es dauert eine Minute, bis ArcGIS Web Adaptor Änderungen am Kommunikationsprotokoll der Site erkennt.
Ältere Versionen:
In Versionen bis 10.2.1 mussten Sie ArcGIS Web Adaptor nach dem Aktualisieren des ArcGIS-Server-Kommunikationsprotokolls neu konfigurieren. In 10.2.2 und späteren Versionen ist dies nicht mehr erforderlich.
Zugreifen auf die Site mit SSL
Nach der Konfiguration von SSL wird der Port 6443 von ArcGIS for Server auf HTTPS-Anforderungen überwacht. Verwenden Sie die unten genannten URLs für den sicheren Zugriff auf ArcGIS for Server:
ArcGIS Server Manager | https://gisserver.domain.com:6443/arcgis/manager |
ArcGIS Server Services Directory | https://gisserver.domain.com:6443/arcgis/rest/services |
Hinweis:
Wenn Sie ArcGIS-Server bei aktiviertem SSL umbenennen, können Sie weiterhin über eine SSL-Verbindung auf ArcGIS-Server zugreifen. Sie müssen jedoch ein neues SSL-Zertifikat generieren und ArcGIS-Server für dessen Verwendung entsprechend konfigurieren.