Skip To Content

Konfigurieren von HTTPS mit einem neuen Zertifikat einer Zertifizierungsstelle (CA)

In diesem Thema wird erläutert, wie Sie HTTPS für ArcGIS Server mit einem Zertifikat einer Zertifizierungsstelle (CA) signieren können. Folgende Schritte sind zum Konfigurieren von HTTPS mit einem Zertifikat einer Zertifizierungsstelle erforderlich:

Erstellen eines neuen selbstsignierten Zertifikats

  1. Melden Sie sich beim ArcGIS-Server-Administratorverzeichnis unter https://gisserver.domain.com:6443/arcgis/admin an.
  2. Navigieren Sie zu machines > [Computername] > sslcertificates.
  3. Klicken Sie auf generate.
  4. Geben Sie Werte für die Parameter auf dieser Seite an:

    OptionBeschreibung

    Alias

    Ein eindeutiger und aussagekräftiger Name für das Zertifikat.

    Key Algorithm

    Wählen Sie RSA (Standard) oder DSA aus.

    Key Size

    Hiermit wird die Größe der kryptografischen Schlüssel in Bits angegeben, die für die Erstellung des Zertifikats generiert werden. Je größer der Schlüssel, umso schwerer lässt sich die Verschlüsselung umgehen. Jedoch erhöht sich mit der Schlüsselgröße auch die Entschlüsselungsdauer. Bei DSA kann die Schlüsselgröße zwischen 512 und 1024 liegen. Bei RSA liegt die empfohlene Größe bei 2048 oder mehr.

    Signature Algorithm

    Verwenden Sie die Standardeinstellung (SHA256withRSA). Wenn für Ihre Organisation bestimmte Sicherheitsbeschränkungen gelten, kann einer der folgenden Algorithmen für DSA verwendet werden: SHA384withRSA, SHA512withRSA, SHA1withRSA, SHA1withDSA.

    Common Name

    Dieses Feld ist optional und wird für die Abwärtskompatibilität mit älteren Webbrowsern und älterer Software genutzt. Es wird empfohlen, den vollständig qualifizierten Domänennamen Ihres Servernamens als allgemeinen Namen zu verwenden.

    Wenn auf Ihren Server über das Internet, d. h. über die URL https://www.gisserver.com:6443/arcgis/ zugegriffen wird, verwenden Sie www.gisserver.com als allgemeinen Namen.

    Wenn auf Ihren Server nur über das lokale Netzwerk (Local Area Network, LAN), d. h. über die URL https://gisserver.domain.com:6443/arcgis zugegriffen wird, verwenden Sie gisserver.domain.com als allgemeinen Namen.

    Organizational Unit

    Der Name der organisatorischen Einheit, z. B. GIS-Abteilung.

    Organization

    Der Name der Organisation, z. B. Esri.

    City or Locality

    Der Name des Ortes, z. B. Redlands.

    State or Province

    Der vollständige Name des Bundeslandes oder des Kantons, z. B. Kalifornien.

    Country Code

    Die Länderabkürzung, z. B. US.

    Validity

    Die Gültigkeitsdauer des Zertifikats in Tagen, z. B. 365

    Subject Alternative Name

    Der alternative Antragstellername (Subject Alternative Name, SAN) wird verwendet, um zu überprüfen, ob das vorgewiesene SSL-Zertifikat der Website, auf die zugegriffen wurde, für die betreffende Website ausgestellt wurde.

    Bleibt dieser Parameter leer, wird der vollständig qualifizierte Domänenname des lokalen Computers als Standardwert verwendet. Das Feld SAN unterstützt mehrere Werte. Es muss allerdings den vollständig qualifizierten Domänennamen der Website enthalten. Der SAN-Parameterwert darf keine Leerzeichen enthalten.

    Wenn auf Ihren Server beispielsweise vorrangig über die URL https://www.esri.com zugegriffen wird, sollte der SAN-Parameter auf DNS:www.esri.com gesetzt werden. Erfolgt der Zugriff auf Ihren Server sowohl über das offene Internet über die URL https://www.esri.com als auch über das LAN (Local Area Network) Ihrer Organisation über die URL https://gisserver.esri.com, dann sollte der SAN-Parameter auf DNS:www.esri.com,DNS:gisserver.esri.com gesetzt werden.

    Die Verwendung von Wildcards (*.esri.com) im SAN-Parameter wird zwar unterstützt, jedoch nicht empfohlen. Wenn für mehrere Websites oder Sub-Domänen das gleiche Zertifikat verwendet wird, führen Sie jede Website oder Sub-Domäne im SAN-Parameter auf, so wie im folgenden Beispiel:

    Beispiel: DNS:www.esri.com,DNS:esri.com,DNS:www.esri.ch,DNS:www.esri.rw,DNS:www.esri.de,DNS:maps.esri.com,DNS:support.esri.com,DNS:pro.arcgis.com

  5. Klicken Sie auf Generate, um das Zertifikat zu erstellen.

Anfordern der Signatur für dieses Zertifikat bei einer Zertifizierungsstelle

Damit Ihr Zertifikat von Webbrowsern als vertrauenswürdig eingestuft wird, muss es von einer bekannten Zertifizierungsstelle wie Verisign oder Thawte geprüft und gegensigniert werden.

  1. Öffnen Sie das selbstsignierte Zertifikat, das Sie im vorherigen Abschnitt erstellt haben, und klicken Sie auf generateCSR. Kopieren Sie die Inhalte in eine Datei, in der Regel mit der Erweiterung .csr.
  2. Übermitteln Sie die Zertifikatanforderung an eine Zertifizierungsstelle (CA) Ihrer Wahl. Sie können ein DER (Distinguished Encoding Rules)- oder Base64-verschlüsseltes Zertifikat abrufen. Wenn die Zertifizierungsstelle den Webservertyp anfordert, für den das Zertifikat bestimmt ist, geben Sie Weitere\Unbekannt oder Java-Anwendungsserver an. Nach dem Überprüfen Ihrer Identität erhalten Sie eine Datei mit der Erweiterung .crt oder .cer.
  3. Speichern Sie das signierte Zertifikat, das Sie von der Zertifizierungsstelle erhalten haben, in einem Verzeichnis auf Ihrem Computer, das Sie über das ArcGIS Server-Administratorverzeichnis aufrufen können. Zusätzlich zum signierten Zertifikat stellt die Zertifizierungsstelle auch ein Stammzertifikat aus. Speichern Sie das Stammzertifikat ebenfalls auf dem Computer.
  4. Melden Sie sich beim ArcGIS Server-Administratorverzeichnis an: https://gisserver.domain.com:6443/arcgis/admin.
  5. Klicken Sie auf machines > [Computername] > sslcertificates > importRootOrIntermediate, um das von der Zertifizierungsstelle (CA) bereitgestellte Stammzertifikat zu importieren. Wenn die Zertifizierungsstelle noch weitere Zwischenzertifikate ausgestellt hat, importieren Sie diese ebenfalls.
  6. Navigieren Sie zu machines > [Computername] > sslcertificates.
  7. Klicken Sie auf den Namen des selbstsignierten Zertifikats, das Sie an die Zertifizierungsstelle übermittelt haben.
  8. Klicken Sie auf importSignedCertificate, und navigieren Sie zu dem Speicherort des signierten Zertifikats, das Sie von der Zertifizierungsstelle erhalten haben.
  9. Klicken Sie auf Submit. Dadurch wird das selbstsignierte Zertifikat, das Sie im vorangegangenen Abschnitt erstellt haben, durch das von der Zertifizierungsstelle signierte Zertifikat ersetzt.

Konfigurieren der ArcGIS Server-Site für die Verwendung des Zertifikats einer Zertifizierungsstelle (CA)

Hinweis:

Die CRL Distribution Points (CDP), die in dem von der Zertifizierungsstelle signierten Zertifikat definiert sind, müssen gültig sein und der bzw. die Computer, auf dem/denen ArcGIS Server gehostet wird, muss/müssen darauf zugreifen können. Wenn die im Zertifikat definierten CDP ungültig sind oder nicht darauf zugegriffen werden kann, da kein Internetzugriff oder Netzwerk verfügbar ist oder die Firewall-Einstellungen dies verhindern, schlägt die Veröffentlichung in ArcGIS Desktop fehl. Um dieses Problem zu umgehen, führen Sie die Schritte im Problem Ich kann keinen Service auf einer ArcGIS Server-Site veröffentlichen, die ein von einer Zertifizierungsstelle (CA) ausgegebenes Zertifikat verwendet im Thema "Allgemeine Probleme und Lösungen" aus.

  1. Melden Sie sich beim ArcGIS Server-Administratorverzeichnis unter https://gisserver.domain.com:6443/arcgis/admin an. Ersetzen Sie gisserver.domain.com durch den vollständig qualifizierten Namen des Computers, auf dem ArcGIS Server installiert ist.
  2. Navigieren Sie zu machines > [Computername].
  3. Klicken Sie auf edit.
  4. Geben Sie den Namen des signierten Zertifikats in das Feld Web server SSL Certificate ein. Der angegebene Name sollte dem Aliasnamen des selbstsignierten Zertifikats entsprechen, das durch das von der Zertifizierungsstelle signierte Zertifikat im vorangegangenen Abschnitt ersetzt wurde.
  5. Klicken Sie auf Änderungen speichern, um die Änderungen anzuwenden. Die ArcGIS Server-Site wird automatisch neu gestartet.
  6. Überprüfen Sie, ob Sie auf die URL https://gisserver.domain.com:6443/arcgis/admin zugreifen können, nachdem die Site neu gestartet wurde. Wenn Sie keine Antwort von dieser URL erhalten, konnte ArcGIS Server das angegebene SSL-Zertifikat nicht verwenden. Melden Sie sich unter http://gisserver.domain.com:6080/arcgis/admin beim ArcGIS Server-Administratorverzeichnis an, aktivieren Sie Ihr SSL-Zertifikat, und konfigurieren Sie ArcGIS Server für die Verwendung eines neuen oder anderen Zertifikats.
  7. Überprüfen Sie die Eigenschaft Web server SSL Certificate auf der aktuellen Seite, um sicherzustellen, dass das gewünschte HTTPS-Zertifikat verwendet wird.

Konfigurieren der ArcGIS Server-Computer in Ihrer Bereitstellung

Wenn Sie ArcGIS Server auf mehreren Computern bereitgestellt haben, müssen Sie für jeden ArcGIS Server-Computer in Ihrer Site ein Zertifikat bei der Zertifizierungsstelle anfordern und konfigurieren. Starten Sie die einzelnen Computer in der ArcGIS Server-Site neu, sobald alle Zertifikate importiert wurden.

Importieren des Stammzertifikats in den Windows-Zertifikatspeicher

Wenn das Stammzertifikat der Zertifizierungsstelle nicht im Windows-Zertifikatspeicher vorliegt, muss es importiert werden.

  1. Melden Sie sich bei einem Computer an, auf dem ArcGIS Server gehostet wird.
  2. Kopieren Sie das signierte Zertifikat, das Sie von der Zertifizierungsstelle erhalten haben, auf diesen Computer.
  3. Öffnen Sie das Zertifikat, und klicken Sie auf die Registerkarte Zertifikatpfad. Wenn der ZertifikatstatusDieses Zertifikat ist OK. lautet, liegt das Stammzertifikat der Zertifizierungsstelle im Windows-Zertifikatspeicher vor und muss nicht importiert werden. Fahren Sie mit Schritt 12 fort.
  4. Kopieren Sie das Stammzertifikat in einen Speicherort auf diesem Computer.
  5. Öffnen Sie das Zertifikat, und klicken Sie auf die Registerkarte Allgemein. Klicken Sie auf die Schaltfläche Zertifikat installieren.
  6. Wenn im Zertifikatimport-Assistent der Bereich Willkommen geöffnet ist, klicken Sie auf Weiter.
  7. Wählen Sie im Bereich Zertifikatspeicher die Option Alle Zertifikate in folgendem Speicher speichern.
  8. Klicken Sie auf die Schaltfläche Durchsuchen. Aktivieren Sie im Dialogfeld Zertifikatspeicher auswählen die Option Physische Speicher anzeigen.
  9. Erweitern Sie den Ordner Vertrauenswürdige Stammzertifizierungsstellen, um seinen Inhalt anzuzeigen. Wählen Sie Lokaler Computer als Zertifikatspeicher aus, den Sie verwenden möchten. Klicken Sie auf OK.
  10. Klicken Sie im Bereich Zertifikatspeicher auf Weiter.
  11. Klicken Sie auf Fertig stellen.
  12. Wiederholen Sie die Schritte 1 bis 11 für jeden ArcGIS Server-Computer der Site.
  13. Starten Sie ArcGIS Server auf jedem Computer neu.

Konfigurieren von HTTPS für die Site

  1. Überprüfen Sie, ob Sie auf die URL https://gisserver.domain.com:6443/arcgis/admin zugreifen können. Wenn Sie keine Antwort von dieser URL erhalten, konnte ArcGIS-Server das angegebene Zertifikat nicht verwenden. Überprüfen Sie das Zertifikat, und konfigurieren Sie im ArcGIS-Server die Verwendung eines neuen oder anderen Zertifikats.
  2. Wenn Sie auf die URL https://gisserver.domain.com:6443/arcgis/admin zugreifen können, navigieren Sie zu security > config > update.
  3. Wählen Sie für den Parameter Protocol die Option HTTPS Only, und klicken Sie auf Update.
Hinweis:

Es dauert eine Minute, bis ArcGIS Web Adaptor Änderungen am Kommunikationsprotokoll der Site erkennt.

Ältere Versionen:

In Versionen bis 10.2.1 mussten Sie ArcGIS Web Adaptor nach dem Aktualisieren des ArcGIS-Server-Kommunikationsprotokolls neu konfigurieren. In 10.2.2 und späteren Versionen ist dies nicht mehr erforderlich.

Zugreifen auf die Site mit HTTPS

Nach der Konfiguration von HTTPS wird der Port 6443 von ArcGIS-Server auf HTTPS-Anforderungen überwacht. Verwenden Sie die unten genannten URLs für den sicheren Zugriff auf ArcGIS-Server:

ArcGIS Server Manager

https://gisserver.domain.com:6443/arcgis/manager

ArcGIS Server-Services-Verzeichnis

https://gisserver.domain.com:6443/arcgis/rest/services

Hinweis:

Wenn Sie ArcGIS-Server bei aktiviertem HTTPS umbenennen, können Sie weiterhin über eine HTTPS-Verbindung auf ArcGIS-Server zugreifen. Sie müssen jedoch ein neues Zertifikat generieren und ArcGIS-Server für dessen Verwendung entsprechend konfigurieren.