Skip To Content

Importowanie certyfikatu do portalu

Protokół HTTPS jest metodą szyfrowania komunikacji przychodzącej i wychodzącej na serwerze WWW. Ponadto protokół HTTPS umożliwia aplikacji klienckiej potwierdzenie tożsamości serwera WWW. Jeśli używany jest protokół HTTPS, każdy serwer WWW, dla którego włączono szyfrowanie HTTPS, musi przesyłać certyfikat do klientów. Certyfikat zawiera poświadczenie tożsamości (gis.mycity.gov) oraz klucz publiczny, który może być używany przez aplikację kliencką do przesyłania zaszyfrowanych informacji do serwera internetowego.

Oprogramowanie Portal for ArcGIS często przesyła informacje, które muszą być szyfrowane. Dlatego protokół HTTPS jest zawsze włączony w portalu. Zalecane jest używanie certyfikatu podpisanego przez korporacyjny (wewnętrzny) lub komercyjny urząd certyfikacji (CA). Sam portal zawiera certyfikat z podpisem własnym. Certyfikat z podpisem własnym nie pozwala aplikacji klienckiej na weryfikację tożsamości serwera. Zastąpienie certyfikatu z podpisem własnym certyfikatem z podpisem urzędu certyfikacji poprawia bezpieczeństwo wdrożenia.

Istnieją dwa sposoby używania w portalu certyfikatu podpisanego przez urząd certyfikacji:

Notatka:

Te procedury wykonywania zadań dotyczą tylko komunikacji HTTPS z oprogramowaniem Portal for ArcGIS na porcie 7443. Aby wygenerować lub zaimportować certyfikat podpisany przez urząd certyfikacji dla aplikacji Web Adaptor, zapoznaj się z dokumentacją serwera internetowego, na którym jest zainstalowana aplikacja Web Adaptor.

Aby uzyskać instrukcje dotyczące tych procesów, zapoznaj się z etapami opisanymi w poniższych sekcjach.

Generowanie nowego certyfikatu podpisanego przez urząd certyfikacji

Protokół HTTPS można włączyć przy użyciu nowego certyfikatu podpisanego przez korporacyjny (wewnętrzny) lub komercyjny urząd certyfikacji. Etapy są następujące:

Generowanie nowego certyfikatu

Aby wygenerować nowy certyfikat, wykonaj poniższe czynności:

  1. Zaloguj się w aplikacji Portal Administrator Directory jako administrator instytucji. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Kliknij opcję Security (Zabezpieczenia) > SSLCertificates (Certyfikaty SSL) > Generate (Generuj).

    Notatka:
    Jeśli portal jest skonfigurowany z wysoką dostępnością, należy zamiast tego przejść do opcji Machines (Komputery) > [komputer] > SSLCertificates (Certyfikaty SSL) > Generate (Generuj) i powtórzyć poniższe czynności dla każdego komputera portalu.

  3. Na stronie Generate Certificate (Generowanie certyfikatu) wprowadź następujące informacje:
    • Alias — unikalna nazwa identyfikująca nazwę certyfikatu (na przykład portalcert).
    • Algorytm klucza — RSA (wartość domyślna) lub DSA.
    • Wielkość klucza — określa wielkość (w bitach) używaną podczas generowania kluczy kryptograficznych stosowanych do tworzenia certyfikatu. Im klucz jest większy, tym trudniej złamać szyfr, jednak większy klucz wydłuża czas deszyfrowania zaszyfrowanych danych. W przypadku algorytmu RSA zalecany jest klucz o wielkości 2 048 lub większy. W przypadku algorytmu DSA wielkość klucza może wynosić od 512 do 1 024.
    • Algorytm podpisu — użyj wartości domyślnej (SHA256withRSA). Jeśli w Twojej instytucji występują specyficzne ograniczenia bezpieczeństwa, w przypadku opcji DSA można użyć jednego z następujących algorytmów: SHA384withRSA, SHA512withRSA, SHA1withRSA lub SHA1withDSA.
    • Nazwa zwykła — to pole jest opcjonalne i jest używane w celu zachowania kompatybilności wstecznej ze starszymi przeglądarkami i oprogramowaniem. Zalecane jest użycie pełnej nazwy domeny komputera portalu jako nazwy zwykłej.
    • Jednostka organizacyjna — nazwa wydziału, która będzie zrozumiała i rozpoznawalna dla użytkownika witryny (na przykład GIS Department).
    • Instytucja — nazwa instytucji (na przykład Esri).
    • Miasto lub lokalizacja — nazwa miasta lub lokalizacji (na przykład Redlands).
    • Stan lub województwo — nazwa stanu lub województwa (na przykład California).
    • Kod kraju — wprowadź dwuliterowy kod kraju, w którym znajduje się Twoja instytucja (na przykład US).
    • Ważność — liczba dni ważności certyfikatu (na przykład 365).
    • Alternatywna nazwa podmiotu — alternatywna nazwa podmiotu (SAN) jest używana do sprawdzania, czy certyfikat SSL prezentowany przez witrynę, do której jest uzyskiwany dostęp, został wystawiony dla tej witryny.

      Jeśli wartość tego parametru nie zostanie podana, jako wartość domyślna zostanie użyta pełna nazwa domeny komputera lokalnego. Pole SAN obsługuje wiele wartości, jednak musi zawierać pełną nazwę domeny witryny. Wartość parametru SAN nie może zawierać spacji.

      Przy użyciu wartości SAN certyfikat zezwala na używanie różnych adresów URL do uzyskiwania dostępu do tej samej witryny. Na przykład adresów URL https://www.esri.com, https://esri i https://10.60.1.16 można używać do uzyskiwania dostępu do tej samej witryny, jeśli certyfikat został utworzony przy użyciu następujących wartości parametru:

      CN=www.esri.com

      SAN=DNS:www.esri.com,DNS:esri,IP:10.60.1.16

  4. Kliknij przycisk Generate (Generuj). Na stronie certyfikatów zostanie wyświetlone łącze do Twojego certyfikatu.

Wysyłanie do urzędu certyfikacji wniosku o podpisanie certyfikatu

Aby przeglądarki internetowe ufały Twojemu certyfikatowi, musi on zostać zweryfikowany i kontrasygnowany przez urząd certyfikacji, taki jak Twoja instytucja, Verisign lub Thawte.

  1. Na stronie certyfikatów kliknij nazwę swojego certyfikatu.
  2. Kliknij przycisk GenerateCSR (Generuj żądanie podpisania certyfikatu). Na stronie Generate CSR (Generowanie żądania podpisania certyfikatu) skopiuj zawartość tego żądania CSR i wklej ją do pliku. Zapisz plik z rozszerzeniem .csr (na przykład portalcert.csr).
  3. Wyślij żądanie CSR do urzędu certyfikacji. Zalecane jest pobranie certyfikatu zakodowanego algorytmem Distinguished Encoding Rules (DER) lub Base64. Jeśli urząd certyfikacji zażąda informacji o typie serwera internetowego, dla którego jest przeznaczony certyfikat, podaj wartość Other\Unknown (Inny\Nieznany) lub Java Application Server. Po zweryfikowaniu Twojej tożsamości urząd certyfikacji prześle plik z rozszerzeniem .crt lub .cer.
  4. Zapisz podpisany certyfikat odebrany z urzędu certyfikacji w lokalizacji na komputerze portalu. Oprócz podpisanego certyfikatu, urząd certyfikacji wystawi także certyfikat główny. Zapisz certyfikat główny urzędu certyfikacji na komputerze portalu.
  5. Zaloguj się w aplikacji Portal Administrator Directory jako administrator instytucji. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  6. Kliknij opcję Security (Zabezpieczenia) > SSLCertificates (Certyfikaty SSL) > Import Root or Intermediate (Importuj certyfikat główny lub pośredni).

    Notatka:
    Jeśli portal jest skonfigurowany z wysoką dostępnością, należy zamiast tego przejść do opcji Machines (Komputery) > [komputer] > SSLCertificates (Certyfikaty SSL) > Import Root or Intermediate (Importuj certyfikat główny lub pośredni) i powtórzyć poniższe czynności dla każdego komputera portalu.

  7. Przejdź do lokalizacji certyfikatu głównego udostępnianego przez urząd certyfikacji i kliknij Importuj. Jeśli urząd certyfikacji wystawił dodatkowe certyfikaty pośrednie, także je zaimportuj. Oprogramowanie Portal for ArcGIS zostanie automatycznie ponownie uruchomione dla każdego zaimportowanego certyfikatu. Nie importuj podpisanego certyfikatu.
  8. Wróć na stronę SSLCertificates (Certyfikaty SSL).
  9. Kliknij nazwę certyfikatu wygenerowanego w poprzedniej sekcji (na przykład portalcert).
  10. Kliknij przycisk Import Signed Certificate (Importuj podpisany certyfikat) i przejdź do lokalizacji podpisanego certyfikatu otrzymanego z urzędu certyfikacji.
  11. Kliknij przycisk Import (Importuj). Certyfikat utworzony w poprzedniej sekcji jest zastępowany certyfikatem podpisanym przez urząd certyfikacji.
  12. Oprogramowanie Portal for ArcGIS zostanie automatycznie uruchomione ponownie. Po ponownym uruchomieniu portal zostanie skonfigurowany pod kątem podanego certyfikatu.

Konfigurowanie użycia certyfikatu podpisanego przez urząd certyfikacji w oprogramowaniu Portal for ArcGIS

Aby skonfigurować użycie certyfikatu podpisanego przez urząd certyfikacji w oprogramowaniu Portal for ArcGIS, wykonaj następujące czynności:

  1. Zaloguj się w aplikacji Portal Administrator Directory jako administrator instytucji. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Kliknij opcję Zabezpieczenia > Certyfikaty SSL > Aktualizuj.

    Notatka:
    Jeśli portal jest skonfigurowany z wysoką dostępnością, należy zamiast tego przejść do opcji Machines (Komputery) > [komputer] > SSLCertificates (Certyfikaty SSL) > Update (Aktualizuje) i powtórzyć poniższe czynności dla każdego komputera portalu.

  3. W polu Web server SSL Certificate (Certyfikat SSL serwera internetowego) wprowadź alias certyfikatu podpisanego przez urząd certyfikacji. Podany alias powinien być zgodny z aliasem certyfikatu, który został zastąpiony certyfikatem podpisanym przez urząd certyfikacji w poprzedniej sekcji.
  4. Kliknij przycisk Update (Aktualizuj).

Certyfikat podpisany przez urząd certyfikacji będzie teraz używany do obsługi protokołu HTTPS.

Sprawdzanie, czy można uzyskać dostęp do portalu przy użyciu protokołu HTTPS

Przetestuj następujący adres URL, aby sprawdzić, czy można uzyskać dostęp do portalu przy użyciu protokołu HTTPS: https://portalhost.domain.com:7443/arcgis/home.

Korzystanie z istniejącego certyfikatu podpisanego przez urząd certyfikacji

Jeśli masz już certyfikat wystawiony przez korporacyjny (wewnętrzny) lub komercyjny urząd certyfikacji, możesz go użyć do włączenia protokołu HTTPS.

Importowanie istniejącego certyfikatu podpisanego przez urząd certyfikacji

Uwaga:

Aby zaimportować certyfikat do portalu, certyfikat i powiązany z nim klucz prywatny muszą być przechowywane w formacie PKCS#12, który jest reprezentowany przez plik z rozszerzeniem .p12 lub .pfx.

  1. Zaloguj się w aplikacji Portal Administrator Directory jako administrator instytucji. Adres URL ma format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Kliknij opcję Security (Zabezpieczenia) > SSLCertificates (Certyfikaty SSL) > Import Existing Server Certificate (Importuj istniejący certyfikat serwera).

    Notatka:
    Jeśli portal jest skonfigurowany z wysoką dostępnością, należy zamiast tego przejść do opcji Machines (Komputery) > [komputer] > SSLCertificates (Certyfikaty SSL) > Import Existing Server Certificate (Importuj istniejący certyfikat serwera) i powtórzyć poniższe czynności dla każdego komputera portalu.

  3. Na stronie Import Existing Server Certificate (Importowanie istniejącego certyfikatu serwera) podaj następujące informacje:
    • Hasło certyfikatu — wprowadź hasło, aby odblokować plik zawierający certyfikat.
    • Alias — wprowadź unikalną nazwę, która łatwo identyfikuje certyfikat (na przykład rootcert).
    • Plik — przejdź do lokalizacji istniejącego certyfikatu podpisanego przez urząd certyfikacji i wybierz go.
    • Importowanie łańcucha certyfikatów — gdy jest zaznaczona ta opcja, certyfikaty główny lub pośredni uwzględniony w pliku .pfx lub .p12 jest również importowany. Alias tych certyfikatów odpowiada aliasowi wprowadzonemu powyżej i jest uzupełniany o _root lub _intermediate zależnie od typu certyfikatu.
  4. Kliknij przycisk Import (Importuj).

Importowanie certyfikatu głównego urzędu certyfikacji

Po zaimportowaniu istniejącego certyfikatu podpisanego przez urząd certyfikacji może okazać się, że certyfikaty główny i pośredni zostały już zaimportowane. Takie certyfikaty są widoczne na stronie Bezpieczeństwo > SSLCertificates.

Jeśli nie zostały zaimportowane lub jest potrzebny dodatkowy certyfikat główny albo pośredni, wykonaj następujące czynności:

  1. Kliknij opcję Security (Zabezpieczenia) > SSLCertificates (Certyfikaty SSL) > Import Root or Intermediate (Importuj certyfikat główny lub pośredni).

    Notatka:
    Jeśli portal jest skonfigurowany z wysoką dostępnością, należy zamiast tego przejść do opcji Machines (Komputery) > [komputer] > SSLCertificates (Certyfikaty SSL) > Import Root or Intermediate (Importuj certyfikat główny lub pośredni) i powtórzyć poniższe czynności dla każdego komputera portalu.

  2. Przejdź do lokalizacji certyfikatu głównego udostępnianego przez urząd certyfikacji i kliknij Importuj. Jeśli urząd certyfikacji wystawił dodatkowe certyfikaty pośrednie, także je zaimportuj. Nie importuj certyfikatu podpisanego przez urząd certyfikacji.
  3. Uruchom ponownie usługę aplikacji Portal for ArcGIS.

Konfigurowanie użycia certyfikatu podpisanego przez urząd certyfikacji w oprogramowaniu Portal for ArcGIS

Aby skonfigurować użycie certyfikatu podpisanego przez urząd certyfikacji w oprogramowaniu Portal for ArcGIS, wykonaj następujące czynności:

  1. Kliknij opcję Zabezpieczenia > Certyfikaty SSL > Aktualizuj.

    Notatka:
    Jeśli portal jest skonfigurowany z wysoką dostępnością, należy zamiast tego przejść do opcji Machines (Komputery) > [komputer] > SSLCertificates (Certyfikaty SSL) > Update (Aktualizuje) i powtórzyć poniższe czynności dla każdego komputera portalu.

  2. W polu Web server SSL Certificate (Certyfikat SSL serwera internetowego) wprowadź alias istniejącego certyfikatu podpisanego przez urząd certyfikacji.
  3. Kliknij przycisk Update (Aktualizuj).

Istniejący certyfikat podpisany przez urząd certyfikacji będzie używany do obsługi protokołu HTTPS.

Sprawdzanie, czy można uzyskać dostęp do portalu przy użyciu protokołu HTTPS

Przetestuj następujący adres URL, aby sprawdzić, czy można uzyskać dostęp do portalu przy użyciu protokołu HTTPS: https://portalhost.domain.com:7443/arcgis/home.