Un certificat SSL auto-signé est utilisé pour les interactions suivantes impliquant ArcGIS Data Store :
- Accès aux fichiers ArcGIS Data Store par l’assistant Data Store Configuration (Configuration de data store) via un serveur Web
- Communication via le serveur Web entre le serveur d’hébergement et les machines ArcGIS Data Store
- Communication via des ports entre et dans les machines individuelles dans un relational data store, un tile cache data store, un object store ou un graph store
- Communication via des ports entre le serveur d’hébergement et n’importe quelle machine ArcGIS Data Store
Si votre organisation exige que les interactions soient sécurisées via un certificat SSL vérifié et signé par une autorité de certification ou un certificat généré pour votre domaine, vous pouvez exécuter l’utilitaire replacesslcertificate pour remplacer le certificat auto-signé par un certificat de domaine ou signé par une autorité de certification.
Le fichier de certificat doit être au format PKCS12 avec l’extension de fichier .pfx ou .p12, et vous devez l’importer dans chaque machine sur laquelle ArcGIS Data Store est installé.
Procédez comme suit pour mettre à jour le certificat SSL sur une machine ArcGIS Data Store :
- Procurez-vous un certificat SSL auprès d'une autorité de certification ou générez un certificat de domaine.
- Créez un fichier au format PKCS12 et attribuez-lui un mot de passe et un alias.
- Exécutez l’utilitaire replacesslcertificate pour remplacer le certificat SSL auto-signé d’une machine ArcGIS Data Store.
- Pour remplacer le certificat utilisé pour la communication avec le serveur Web, exécutez l’utilitaire replacesslcertificate avec l’option webserver.
- Pour remplacer le certificat utilisé pour la communication via les ports et entre les machines de data store, exécutez l’utilitaire replacesslcertificate avec l’option de data store appropriée.
Dans cet exemple, le fichier de certificat (casignedcert.pfx) se trouve dans le répertoire cacerts, possède l’alias myfilealias, est sécurisé par le mot de passe Sec00rit et est utilisé pour remplacer le certificat employé pour la communication avec le serveur Web.
replacesslcertificate C:\cacerts\casignedcert.pfx "Sec00rit" myfilealias --option webserver
Dans l’exemple suivant, le fichier de certificat (casignedcert2.pfx) se trouve dans le répertoire certs, présente l’alias reldscert, est sécurisé par le mot de passe S00per$ecret et sert à remplacer le certificat employé pour la communication avec la machine de relational data store via le port 9876, la communication par le serveur Web via le port 2443 et la communication pour les webhooks via le port 45671.
replacesslcertificate C:\cacerts\casignedcert2.pfx "S00per$ecret" reldscert --option relational
Le certificat de la machine utilisée pour exécuter l’utilitaire est ainsi mis à jour.
- Si vous possédez plusieurs machines ArcGIS Data Store, mettez à jour le certificat pour chacune.
Par exemple, si votre déploiement comprend un relational data store composé de deux machines et un object store composé de trois machines, exécutez l’utilitaire sur les cinq machines.
Vérifier que le certificat de l’autorité de certification est utilisé pour la communication
Pour vérifier que le certificat du serveur Web a été correctement mis à jour, ouvrez un navigateur et saisissez l’URL de l’assistant Data Store Configuration (Configuration de data store). L’URL est au format suivant : https://<fully qualified data store machine name>:2443/arcgis/datastore. Si l’assistant s’ouvre sans renvoyer d’avertissement de sécurité, cela signifie que le certificat SSL a été mis à jour pour la communication avec le serveur Web.
Vous pouvez télécharger et exécuter les commandes OpenSSL pour vérifier que le chemin du certificat pour la communication via les ports ne contient plus de certificats auto-signés.
Vous avez un commentaire à formuler concernant cette rubrique ?