Un certificato SSL autofirmato viene utilizzato per le seguenti interazioni ArcGIS Data Store:
- Il wizard di configurazione del data store accede ai file ArcGIS Data Store un server Web
- Comunicazione attraverso il server Web tra il server di hosting e i computer ArcGIS Data Store
- Comunicazione su porte tra e all'interno di singoli computer in un data store relazionale, in un data store cache tile, in un archivio oggetti o in un archivio grafici.
- Comunicazione attraverso le porte tra il server di hosting e qualsiasi computer ArcGIS Data Store
Se l'organizzazione richiede che le interazioni siano protette da un certificato SSL verificato e firmato da un'autorità di certificazione (CA) o da un certificato generato per il proprio dominio, è possibile utilizzare l'utilità replacesslcertificate per sostituire il certificato autofirmato con un certificato firmato dalla CA o dal dominio.
Il file del certificato deve essere in formato PKCS12 con un'estensione di file di .pfx or .p12 e occorre importarlo su ogni computer in cui ArcGIS Data Store è installato.
Seguire questi passaggi per aggiornare il certificato SSL su un computer ArcGIS Data Store:
- Ottenere un certificato SSL da un'autorità di certificazione o generare un certificato di dominio.
- Creare un file di formato PKCS12 e impostare una password e un alias per il file.
- Esegui l'utilità replacesslcertificate per sostituire il certificato SSL autofirmato per un computer ArcGIS Data Store.
- Per sostituire il certificato utilizzato per la comunicazione con il server Web, eseguire l'utilità replacesslcertificate con l'opzione webserver.
- Per sostituire il certificato utilizzato per la comunicazione sulle porte e tra i computer del data store, eseguire l'utilità replacesslcertificate con l'opzione di data store appropriata.
In questo esempio, il file del certificato (casignedcert.pfx) è nella directory cacerts, ha l'alias myfilealias, è protetto dalla password Sec00rit e viene utilizzato per sostituire il certificato utilizzato per la comunicazione con il server Web.
./replacesslcertificate.sh /usr/cacerts/casignedcert.pfx "Sec00rit" myfilealias --option webserver
Nel seguente esempio, il file del certificato (casignedcert2.pfx) è nella directory certs, ha l'alias reldscert, è protetto dalla password S00per$ecret, e viene utilizzato per sostituire il certificato utilizzato per la comunicazione tra i computer del data store relazionale primario e standby; la comunicazione con i computer del data store relazionale sulle porte 2443, 9876, 44369, 45671, 45672 e 50432; e la comunicazione per i webhook sulle porte 25672 e 44369.
./replacesslcertificate.sh /usr/cacerts/casignedcert2.pfx "S00per$ecret" reldscert --option relational
- Se si dispone di più computer ArcGIS Data Store, aggiornare il certificato per ciascuno.
Verificare che il certificato CA sia utilizzato per la comunicazione
Per verificare che il certificato del server Web si sia aggiornato correttamente, aprire un browser e digitare l'URL del wizard di configurazione del data store. Il formato dell'URL è https://<fully qualified data store machine name>:2443/arcgis/datastore. Se il wizard si apre senza restituire un avviso di sicurezza, il certificato SSL è stato aggiornato con successo per la comunicazione con il server Web.
È possibile scaricare ed eseguire i comandi OpenSSL per verificare che il percorso del certificato per la comunicazione della porta non contenga più certificati autofirmati.