Skip To Content

Konfiguracja nowego certyfikatu podpisanego przez urząd certyfikacji

Jeśli witryna serwera ArcGIS Notebook Server znajduje się we wdrożeniu produkcyjnym, powinna mieć certyfikat cyfrowy podpisany przez zewnętrzny urząd certyfikacji (CA). W tym temacie przedstawione zostały etapy generowania nowego certyfikatu, przesyłania go w celu podpisania przez zewnętrzny urząd certyfikacji oraz importowania podpisanego certyfikatu do witryny serwera ArcGIS Notebook Server.

Jeśli masz już taki certyfikat, zapoznaj się z tematem Konfiguracja serwera ArcGIS Notebook Server przy użyciu istniejącego certyfikatu podpisanego przez urząd certyfikacji.

Domyślnie aplikacja ArcGIS Web Adaptor obsługuje protokół HTTPS i będzie komunikować się z serwerem ArcGIS Notebook Server tylko przy użyciu tego protokołu. Jeśli nie zostało to jeszcze zrobione, włącz protokół HTTPS na serwerze internetowym hostującym aplikację ArcGIS Web Adaptor. Jeśli witryna serwera ArcGIS Notebook Server została skonfigurowana przy użyciu zwrotnego serwera proxy, upewnij się, że protokół HTTPS jest też włączony na zwrotnym serwerze proxy.

Tworzenie nowego certyfikatu z podpisem własnym

  1. Zaloguj się w aplikacji ArcGIS Notebook Server Administrator Directory pod adresem https://notebookserver.domain.com:11443/arcgis/admin.
  2. Przejdź do sekcji machines (komputery) > [nazwa komputera] > sslcertificates (certyfikaty SSL).
  3. Kliknij przycisk generate (generuj).
  4. Podaj wartości parametrów na tej stronie:

    OpcjaOpis

    Alias

    Unikalna nazwa, która łatwo identyfikuje certyfikat.

    Key Algorithm (Algorytm klucza)

    Użyj algorytmu RSA (wartość domyślna) lub DSA.

    Key Size (Wielkość klucza)

    Wskazuje wielkość (w bitach) używaną podczas generowania kluczy kryptograficznych stosowanych do tworzenia certyfikatu. Im klucz jest większy, tym trudniej złamać szyfr, jednak większy klucz wydłuża czas deszyfrowania zaszyfrowanych danych. W przypadku algorytmu DSA wielkość klucza może wynosić od 512 do 1 024. W przypadku algorytmu RSA zalecany jest klucz o wielkości 2 048 lub większy.

    Signature Algorithm (Algorytm podpisu)

    Użyj wartości domyślnej (SHA1withRSA). Jeśli w Twojej instytucji występują specyficzne ograniczenia bezpieczeństwa, wówczas w przypadku opcji DSA można użyć jednego z następujących algorytmów: SHA256withRSA, SHA384withRSA, SHA512withRSA, SHA1withDSA.

    Common Name (Nazwa zwykła)

    Jako nazwy zwykłej użyj nazwy domeny z nazwy serwera.

    Jeśli dostęp do serwera będzie odbywać się przez Internet przy użyciu adresu URL https://www.notebookserver.com:11443/arcgis/, użyj nazwy zwykłej www.notebookserver.com.

    Jeśli dostęp do serwera będzie odbywać się wyłącznie przez sieć lokalną (LAN) przy użyciu adresu URL https://notebookserver.domain.com:11443/arcgis, użyj nazwy zwykłej notebookserver.domain.com.

    Organizational Unit (Jednostka organizacyjna)

    Nazwa jednostki organizacyjnej, np. Wydział GIS.

    Instytucja

    Nazwa instytucji, np. Esri.

    City or Locality (Miasto lub lokalizacja)

    Nazwa miasta lub lokalizacji, np. Redlands.

    State or Province (Stan lub województwo)

    Pełna nazwa stanu lub województwa, np. Kalifornia.

    Country Code (Kod kraju)

    Skrócony kod kraju, np. US.

    Validity (Ważność)

    Łączny czas ważności certyfikatu w dniach, np. 365.

    Subject Alternative Name (Alternatywna nazwa podmiotu)

    Alternatywna nazwa podmiotu (SAN) to opcjonalny parametr, który definiuje nazwy alternatywne względem nazwy zwykłej (CN) podanej w certyfikacie. Wartość parametru SAN nie może zawierać żadnych spacji.

    Zaleca się uwzględnienie parametru SAN, ponieważ niektóre przeglądarki internetowe wymagają obecnie tego parametru, aby certyfikaty były zaufane.

    Jeśli wartość tego parametru nie zostanie podana, jako wartość domyślna zostanie użyta pełna nazwa domeny komputera lokalnego. Pole SAN obsługuje wiele wartości, jednak musi zawierać pełną nazwę domeny witryny. Na przykład adresów URL https://www.esri.com, https://esri i https://10.60.1.16 można używać do uzyskiwania dostępu do tej samej witryny, jeśli certyfikat został utworzony przy użyciu następującej wartości parametru SAN:

    DNS:www.esri.com,DNS:esri,IP:10.60.1.16

  5. Kliknij przycisk Generate (Generuj), aby wygenerować certyfikat.

Wysyłanie do urzędu certyfikacji wniosku o podpisanie certyfikatu

W kolejnym etapie wyślij do urzędu certyfikacji wniosek o podpisanie certyfikatu, wykonując następujące czynności.

  1. Otwórz certyfikat z podpisem własnym, który został utworzony w poprzedniej sekcji i kliknij opcję generateCSR (generuj żądanie CSR). Skopiuj zawartość do pliku, zwykle z rozszerzeniem .csr.
  2. Prześlij żądanie CSR do wybranego urzędu certyfikacji. Istnieje możliwość pobrania certyfikatu zakodowanego algorytmem Distinguished Encoding Rules (DER) lub Base64. Jeśli urząd certyfikacji zażąda informacji o typie serwera internetowego, dla którego jest przeznaczony certyfikat, podaj wartość Other\Unknown (Inny\Nieznany) lub Java Application Server. Po zweryfikowaniu Twojej tożsamości urząd certyfikacji prześle plik z rozszerzeniem .crt lub .cer.
  3. Zapisz podpisany certyfikat odebrany z urzędu certyfikacji w lokalizacji na komputerze. Oprócz podpisanego certyfikatu, urząd certyfikacji wystawi także certyfikat główny. Zapisz certyfikat główny urzędu certyfikacji na komputerze.
  4. Zaloguj się w aplikacji ArcGIS Notebook Server Administrator Directory pod adresem https://notebookserver.domain.com:11443/arcgis/admin.
  5. Kliknij kolejno opcje machines (komputery) > [nazwa komputera] > sslcertificates (certyfikaty SSL) > importRootOrIntermediate (importuj główny lub pośredni), aby zaimportować certyfikat główny dostarczony przez urząd certyfikacji. Jeśli urząd certyfikacji wystawił jakiekolwiek dodatkowe certyfikaty pośrednie, także je zaimportuj.
  6. Przejdź do sekcji machines (komputery) > [nazwa komputera] > sslcertificates (certyfikaty SSL).
  7. Kliknij nazwę certyfikatu z podpisem własnym, który został przesłany do urzędu certyfikacji.
  8. Kliknij opcję importSignedCertificate (importuj podpisany certyfikat) i przejdź do lokalizacji podpisanego certyfikatu otrzymanego z urzędu certyfikacji.
  9. Kliknij opcję Submit (Prześlij). Certyfikat utworzony w poprzedniej sekcji zostanie zastąpiony certyfikatem podpisanym przez urząd certyfikacji.

Konfiguracja serwera ArcGIS Notebook Server do korzystania z certyfikatu

Aby wskazać certyfikat, który powinien być używany przez serwer ArcGIS Notebook Server, wykonaj następujące czynności:

  1. Zaloguj się w aplikacji ArcGIS Notebook Server Administrator Directory pod adresem https://notebookserver.domain.com:11443/arcgis/admin.
  2. Przejdź do sekcji machines (komputery) > [nazwa komputera].
  3. Kliknij przycisk edit (edytuj).
  4. W polu Web server SSL Certificate (Certyfikat SSL serwera internetowego) wpisz nazwę certyfikatu, którego chcesz używać.
  5. Kliknij przycisk Save Edits (Zapisz zmiany), aby zastosować zmiany. Spowoduje to automatyczne ponowne uruchomienie witryny serwera ArcGIS Notebook Server.
  6. Po ponownym uruchomieniu witryny upewnij się, że można uzyskać dostęp do adresu URL https://notebookserver.domain.com:11443/arcgis/admin. Jeśli nie uzyskasz odpowiedzi z tego adresu URL, serwer ArcGIS Notebook Server nie mógł użyć podanego certyfikatu SSL.
  7. Na bieżącej stronie wyświetl właściwość Web server SSL Certificate (Certyfikat SSL serwera internetowego), aby potwierdzić użycie żądanego certyfikatu dla protokołu HTTPS.

Uzyskiwanie dostępu do witryny

W przypadku domyślnie włączonego protokołu HTTPS serwer ArcGIS Notebook Server nasłuchuje żądań na porcie 11443. Dostęp do aplikacji Administrator Directory można uzyskać pod adresem https://notebookserver.domain.com:11443/arcgis/admin lub https://notebookwebadaptor.domain.com/notebook/admin.