Skip To Content

Remplacer les certificats SSL de ArcGIS Data Store

Un certificat SSL auto-signé est utilisé pour les interactions suivantes impliquant ArcGIS Data Store :

  • Accès aux fichiers ArcGIS Data Store par l’assistant Data Store Configuration (Configuration de data store) via un serveur Web
  • Communication via le serveur Web entre le serveur d’hébergement et les machines ArcGIS Data Store
  • Communication via les ports entre et dans les machines individuelles dans un data store relationnel, un data store de cache tuilé, un object store ou un graph store.
  • Communication via des ports entre le serveur d’hébergement et n’importe quelle machine ArcGIS Data Store

Si votre organisation exige que les interactions soient sécurisées via un certificat SSL vérifié et signé par une autorité de certification ou un certificat généré pour votre domaine, vous pouvez exécuter l’utilitaire replacesslcertificate pour remplacer le certificat auto-signé par un certificat de domaine ou signé par une autorité de certification.

Le fichier de certificat doit être au format PKCS12 avec l’extension de fichier .pfx ou .p12, et vous devez l’importer dans chaque machine sur laquelle ArcGIS Data Store est installé.

Procédez comme suit pour mettre à jour le certificat SSL sur une machine ArcGIS Data Store :

  1. Procurez-vous un certificat SSL auprès d'une autorité de certification ou générez un certificat de domaine.
  2. Créez un fichier au format PKCS12 et attribuez-lui un mot de passe et un alias.
  3. Exécutez l’utilitaire replacesslcertificate pour remplacer le certificat SSL auto-signé d’une machine ArcGIS Data Store.
    • Pour remplacer le certificat utilisé pour la communication avec le serveur Web, exécutez l’utilitaire replacesslcertificate avec l’option webserver.
    • Pour remplacer le certificat utilisé pour la communication via les ports et entre les machines de data store, exécutez l’utilitaire replacesslcertificate avec l’option de data store appropriée.

    Dans cet exemple, le fichier de certificat (casignedcert.pfx) se trouve dans le répertoire cacerts, possède l’alias myfilealias, est sécurisé par le mot de passe Sec00rit et est utilisé pour remplacer le certificat employé pour la communication avec le serveur Web.

    ./replacesslcertificate.sh /usr/cacerts/casignedcert.pfx "Sec00rit" myfilealias --option webserver

    Dans l’exemple suivant, le fichier de certificat (casignedcert2.pfx) se trouve dans le répertoire certs, possède l’alias reldscert, est sécurisé par le mot de passe S00per$ecret et est utilisé pour remplacer le certificat employé pour la communication entre les machines principale et de secours de data store relationnel, pour la communication avec les machines de data store relationnel via les ports 2443, 9876, 44369, 45671, 45672 et 50432, ainsi que pour la communication pour les webhooks via les ports 25672 et 44369.

    ./replacesslcertificate.sh /usr/cacerts/casignedcert2.pfx "S00per$ecret" reldscert --option relational

  4. Si vous possédez plusieurs machines ArcGIS Data Store, mettez à jour le certificat pour chacune.

Vérifiez que le certificat de l’autorité de certification est utilisé pour la communication

Pour vérifier que le certificat du serveur Web a été correctement mis à jour, ouvrez un navigateur et saisissez l’URL de l’assistant Data Store Configuration (Configuration de data store). L’URL est au format suivant : https://<fully qualified data store machine name>:2443/arcgis/datastore. Si l’assistant s’ouvre sans renvoyer d’avertissement de sécurité, cela signifie que le certificat SSL a été mis à jour pour la communication avec le serveur Web.

Vous pouvez télécharger et exécuter les commandes OpenSSL pour vérifier que le chemin du certificat pour la communication via les ports ne contient plus de certificats auto-signés.