Certyfikat SSL z podpisem własnym jest używany w aplikacji ArcGIS Data Store w następujących interakcjach:
- Kreator konfiguracji magazynu danych uzyskujący dostęp do plików aplikacji ArcGIS Data Store za pośrednictwem serwera internetowego
- Komunikacja za pośrednictwem serwera internetowego między serwerem hostującym a komputerami ArcGIS Data Store
- Komunikacja przez porty między poszczególnymi komputerami i w ich obrębie w relacyjnym magazynie danych, magazynie danych pamięci podręcznej kafli, magazynie obiektów lub magazynie wykresów.
- Komunikacja przez porty między serwerem hostującym a komputerami ArcGIS Data Store
Jeśli w instytucji konieczne jest zabezpieczenie tych interakcji przy użyciu certyfikatu SSL, który został zweryfikowany i podpisany przez urząd certyfikacji, albo certyfikatu wygenerowanego dla domeny, można użyć narzędzia replacesslcertificate do zastąpienia certyfikatu z podpisem własnym certyfikatem z podpisem urzędu certyfikacji lub certyfikatem domeny.
Plik certyfikatu musi być w formacie PKCS12 i mieć rozszerzenie .pfx lub .p12 i należy go zaimportować na każdym komputerze, na którym jest zainstalowana aplikacja ArcGIS Data Store.
Aby zaktualizować certyfikat SSL na komputerze z aplikacją ArcGIS Data Store, wykonaj następujące czynności:
- Uzyskaj certyfikat SSL z urzędu certyfikacji lub wygeneruj certyfikat domeny.
- Utwórz plik w formacie PKCS12, a następnie skonfiguruj hasło i alias dla pliku.
- Uruchom narzędzie replacesslcertificate w celu zastąpienia certyfikatu SSL z własnym podpisem dla komputera z aplikacją ArcGIS Data Store.
- Aby zastąpić certyfikat używany do komunikacji z serwerem internetowym, uruchom narzędzie replacesslcertificate z opcją webserver.
- Aby zastąpić certyfikat używany do komunikacji przez porty i między komputerami magazynu danych, uruchom narzędzie replacesslcertificate z odpowiednią opcją magazynu danych.
W tym przykładzie plik certyfikatu (casignedcert.pfx) znajduje się w katalogu cacerts, ma alias myfilealias, jest zabezpieczony hasłem Sec00rit i służy do zastępowania certyfikatu używanego do komunikacji z serwerem internetowym.
./replacesslcertificate.sh /usr/cacerts/casignedcert.pfx "Sec00rit" myfilealias --option webserver
W poniższym przykładzie plik certyfikatu (casignedcert2.pfx) znajduje się w katalogu certs, ma alias reldscert, jest zabezpieczony hasłem S00per$ecret i służy do zastępowania certyfikatu używanego do komunikacji między komputerami podstawowym i zapasowym relacyjnego magazynu danych; do komunikacji z komputerami relacyjnego magazynu danych przez porty 2443, 9876, 44369, 45671, 45672 i 50432 oraz do komunikacji z elementami webhook przez porty 25672 i 44369.
./replacesslcertificate.sh /usr/cacerts/casignedcert2.pfx "S00per$ecret" reldscert --option relational
- Jeśli istnieje wiele komputerów z aplikacją ArcGIS Data Store, zaktualizuj certyfikat dla każdego z nich.
Weryfikacja, czy certyfikat urzędu certyfikacji jest używany do komunikacji
Aby zweryfikować, czy certyfikat serwera internetowego został poprawnie zaktualizowany, otwórz przeglądarkę i wpisz adres URL kreatora konfiguracji magazynu danych. Adres URL ma format https://<fully qualified data store machine name>:2443/arcgis/datastore. Jeśli kreator otworzy się bez wyświetlenia ostrzeżenia dotyczącego bezpieczeństwa, certyfikat SSL został pomyślnie zaktualizowany na potrzeby komunikacji z serwerem internetowym.
Można pobrać i uruchomić polecenia OpenSSL, aby sprawdzić, czy ścieżka do certyfikatu używanego w komunikacji przez porty nie zawiera już certyfikatów z podpisem własnym.