In diesem Thema werden die Schritte zur Erstellung eines Zertifikats beschrieben, das anschließend von einer Zertifizierungsstelle (CA) signiert und mit ArcGIS Server konfiguriert wird. Hierzu sind folgende Schritte erforderlich:
- Erstellen eines selbstsignierten Zertifikats
- Anfordern der Signatur für dieses Zertifikat bei einer Zertifizierungsstelle (CA)
- Konfigurieren der ArcGIS Server-Site für die Verwendung des Zertifikats einer Zertifizierungsstelle (CA)
- Konfigurieren der ArcGIS Server in Ihrer Bereitstellung
- Zugreifen auf Ihre Site
Erstellen eines selbstsignierten Zertifikats
- Melden Sie sich beim ArcGIS Server-Administratorverzeichnis unter https://gisserver.domain.com:6443/arcgis/admin an.
- Navigieren Sie zu machines > [Computername] > sslcertificates.
- Klicken Sie auf generate.
- Geben Sie Werte für die Parameter auf dieser Seite an:
Option Beschreibung Alias
Ein eindeutiger und aussagekräftiger Name für das Zertifikat.
Key Algorithm
Wählen Sie RSA (Standard) oder DSA aus.
Key Size
Hiermit wird die Größe der kryptografischen Schlüssel in Bits angegeben, die für die Erstellung des Zertifikats generiert werden. Je größer der Schlüssel, umso schwerer lässt sich die Verschlüsselung umgehen. Jedoch erhöht sich mit der Schlüsselgröße auch die Entschlüsselungsdauer. Bei DSA kann die Schlüsselgröße zwischen 512 und 1024 liegen. Bei RSA liegt die empfohlene Größe bei 2048 oder mehr.
Signature Algorithm
Verwenden Sie die Standardeinstellung (SHA256withRSA). Wenn für Ihre Organisation bestimmte Sicherheitsbeschränkungen gelten, kann einer der folgenden Algorithmen für DSA verwendet werden: SHA384withRSA, SHA512withRSA, SHA1withRSA, SHA1withDSA.
Common Name
Dieses Feld ist optional und wird für die Abwärtskompatibilität mit älteren Webbrowsern und älterer Software genutzt. Es wird empfohlen, den vollständig qualifizierten Domänennamen Ihres Servernamens als allgemeinen Namen zu verwenden.
Wenn auf Ihren Server über das Internet, d. h. über die URL https://www.gisserver.com:6443/arcgis/ zugegriffen wird, verwenden Sie www.gisserver.com als allgemeinen Namen.
Wenn auf Ihren Server nur über das lokale Netzwerk (Local Area Network, LAN), d. h. über die URL https://gisserver.domain.com:6443/arcgis zugegriffen wird, verwenden Sie gisserver.domain.com als allgemeinen Namen.
Organizational Unit
Der Name der organisatorischen Einheit, z. B. GIS-Abteilung.
Organization
Der Name der Organisation, z. B. Esri.
City or Locality
Der Name des Ortes, z. B. Redlands.
State or Province
Der vollständige Name des Bundeslandes oder des Kantons, z. B. Kalifornien.
Country Code
Die Länderabkürzung, z. B. US.
Validity
Die Gültigkeitsdauer des Zertifikats in Tagen, z. B. 365
Subject Alternative Name
Der alternative Antragstellername (Subject Alternative Name, SAN) wird verwendet, um zu überprüfen, ob das vorgewiesene SSL-Zertifikat der Website, auf die zugegriffen wurde, für die betreffende Website ausgestellt wurde.
Bleibt dieser Parameter leer, wird der vollständig qualifizierte Domänenname des lokalen Computers als Standardwert verwendet. Das Feld SAN unterstützt mehrere Werte. Es muss allerdings den vollständig qualifizierten Domänennamen der Website enthalten. Der SAN-Parameterwert darf keine Leerzeichen enthalten.
Wenn auf Ihren Server beispielsweise vorrangig über die URL https://www.esri.com zugegriffen wird, sollte der SAN-Parameter auf DNS:www.esri.com gesetzt werden. Erfolgt der Zugriff auf Ihren Server sowohl über das offene Internet über die URL https://www.esri.com als auch über das LAN (Local Area Network) Ihrer Organisation über die URL https://gisserver.esri.com, dann sollte der SAN-Parameter auf DNS:www.esri.com,DNS:gisserver.esri.com gesetzt werden.
Die Verwendung von Wildcards (*.esri.com) im SAN-Parameter wird zwar unterstützt, jedoch nicht empfohlen. Wenn für mehrere Websites oder Sub-Domänen das gleiche Zertifikat verwendet wird, führen Sie jede Website oder Sub-Domäne im SAN-Parameter auf, so wie im folgenden Beispiel:
Beispiel: DNS:www.esri.com,DNS:esri.com,DNS:www.esri.ch,DNS:www.esri.rw,DNS:www.esri.de,DNS:maps.esri.com,DNS:support.esri.com,DNS:pro.arcgis.com
- Klicken Sie auf Generate, um das Zertifikat zu erstellen.
Anfordern der Signatur für dieses Zertifikat bei einer Zertifizierungsstelle
Damit Ihr Zertifikat von Webbrowsern als vertrauenswürdig eingestuft wird, muss es von einer bekannten Zertifizierungsstelle wie Verisign oder Thawte geprüft und gegensigniert werden.
Ältere Versionen:
In den Versionen 10.5.1 und niedriger haben Sie mit der Variable CA_ROOT_CERTIFICATE_DIR des Skripts init_user_param.sh von einer Zertifizierungsstelle signierte Stammzertifikate in den Zertifikatspeicher des Betriebssystems importiert. In Version 10.6 ist dieser Schritt nicht mehr erforderlich.
- Öffnen Sie das selbstsignierte Zertifikat, das Sie im vorherigen Abschnitt erstellt haben, und klicken Sie auf generateCSR. Kopieren Sie die Inhalte in eine Datei, in der Regel mit der Erweiterung .csr.
- Übermitteln Sie die Zertifikatanforderung an eine Zertifizierungsstelle (CA) Ihrer Wahl. Sie können ein DER (Distinguished Encoding Rules)- oder Base64-verschlüsseltes Zertifikat abrufen. Wenn die Zertifizierungsstelle den Webservertyp anfordert, für den das Zertifikat bestimmt ist, geben Sie Weitere\Unbekannt oder Java-Anwendungsserver an. Nach dem Überprüfen Ihrer Identität erhalten Sie eine Datei mit der Erweiterung .crt oder .cer.
- Speichern Sie das signierte Zertifikat, das Sie von der Zertifizierungsstelle erhalten haben, in einem Verzeichnis auf Ihrem Computer, das Sie über das ArcGIS Server-Administratorverzeichnis aufrufen können. Zusätzlich zum signierten Zertifikat stellt die Zertifizierungsstelle auch ein Stammzertifikat aus. Speichern Sie das Stammzertifikat ebenfalls auf dem Computer.
- Melden Sie sich beim ArcGIS Server-Administratorverzeichnis an: https://gisserver.domain.com:6443/arcgis/admin.
- Klicken Sie auf machines > [Computername] > sslcertificates > importRootOrIntermediate, um das von der Zertifizierungsstelle (CA) bereitgestellte Stammzertifikat zu importieren. Wenn die Zertifizierungsstelle noch weitere Zwischenzertifikate ausgestellt hat, importieren Sie diese ebenfalls.
- Navigieren Sie zu machines > [Computername] > sslcertificates.
- Klicken Sie auf den Namen des selbstsignierten Zertifikats, das Sie an die Zertifizierungsstelle übermittelt haben.
- Klicken Sie auf importSignedCertificate, und navigieren Sie zu dem Speicherort des signierten Zertifikats, das Sie von der Zertifizierungsstelle erhalten haben.
- Klicken Sie auf Submit. Dadurch wird das selbstsignierte Zertifikat, das Sie im vorangegangenen Abschnitt erstellt haben, durch das von der Zertifizierungsstelle signierte Zertifikat ersetzt.
Konfigurieren der ArcGIS Server-Site für die Verwendung des Zertifikats einer Zertifizierungsstelle (CA)
- Melden Sie sich beim ArcGIS Server-Administratorverzeichnis unter https://gisserver.domain.com:6443/arcgis/admin an. Ersetzen Sie gisserver.domain.com durch den vollständig qualifizierten Namen des Computers, auf dem ArcGIS Server installiert ist.
- Navigieren Sie zu machines > [Computername].
- Klicken Sie auf edit.
- Geben Sie den Namen des signierten Zertifikats in das Feld Web server SSL Certificate ein. Der angegebene Name sollte dem Aliasnamen des selbstsignierten Zertifikats entsprechen, das durch das von der Zertifizierungsstelle signierte Zertifikat im vorangegangenen Abschnitt ersetzt wurde.
- Klicken Sie auf Änderungen speichern, um die Änderungen anzuwenden. Die ArcGIS Server-Site wird automatisch neu gestartet.
- Überprüfen Sie, ob Sie auf die URL https://gisserver.domain.com:6443/arcgis/admin zugreifen können, nachdem die Site neu gestartet wurde. Wenn Sie keine Antwort von dieser URL erhalten, konnte ArcGIS Server das angegebene SSL-Zertifikat nicht verwenden. Melden Sie sich unter http://gisserver.domain.com:6080/arcgis/admin beim ArcGIS Server-Administratorverzeichnis an, aktivieren Sie Ihr SSL-Zertifikat, und konfigurieren Sie ArcGIS Server für die Verwendung eines neuen oder anderen Zertifikats.
- Überprüfen Sie die Eigenschaft Web server SSL Certificate auf der aktuellen Seite, um sicherzustellen, dass das gewünschte HTTPS-Zertifikat verwendet wird.
Konfigurieren der ArcGIS Server-Computer in Ihrer Bereitstellung
Wenn Sie ArcGIS Server auf mehreren Computern bereitgestellt haben, müssen Sie für jeden ArcGIS Server-Computer in Ihrer Site ein Zertifikat bei der Zertifizierungsstelle anfordern und konfigurieren. Starten Sie die einzelnen Computer in der ArcGIS Server-Site neu, sobald alle Zertifikate importiert wurden.
Zugreifen auf Ihre Site
Wenn HTTPS aktiviert ist, überwacht ArcGIS Server standardmäßig Port 6443 auf Anforderungen. Verwenden Sie die unten genannten URLs für den sicheren Zugriff auf ArcGIS Server:
ArcGIS Server Manager | https://gisserver.domain.com:6443/arcgis/manager |
ArcGIS Server Services Directory | https://gisserver.domain.com:6443/arcgis/rest/services |
Hinweis:
Wenn Sie den ArcGIS Server umbenennen, können Sie weiterhin über eine HTTPS-Verbindung auf ArcGIS Server zugreifen. Sie müssen jedoch ein neues Zertifikat generieren und ArcGIS Server für dessen Verwendung entsprechend konfigurieren.