Самозаверенный сертификат SSL используется для следующих взаимодействий ArcGIS Data StoreArcGIS Data Store:
- Мастер настройки Data Store Configuration обращается к файлам ArcGIS Data Store через веб-сервер
- Связь через веб-сервер между хост-сервером и компьютерами ArcGIS Data Store
- Обмен данными по портам между отдельными компьютерами и внутри них в реляционном хранилище данных, хранилище данных полистного кэша, хранилище объектов или хранилище графов.
- Связь через порты между хост-сервером и любым компьютером ArcGIS Data Store
Если для вашей организации требуется, чтобы эти взаимодействия был защищены сертификатом SSL, подтвержденным и подписанным центром сертификации (CA), или созданным для вашего собственного домена, то можете использовать утилиту replacesslcertificate для замены самозаверенного сертификата сертификатом, подписанным центром CA, или сертификатом домена.
Файл сертификата должен быть в формате PKCS12 с расширением .pfx или .p12, и его необходимо импортировать на каждый компьютер, где установлен ArcGIS Data Store.
Для обновления сертификата SSL на компьютере ArcGIS Data Store выполните следующие шаги:
- Получите сертификат SSL в центре сертификации либо создайте сертификат домена.
- Создайте файл формата PKCS и задайте для него пароль и псевдоним.
- Запустите утилиту replacesslcertificate для замены самозаверенного сертификата SSL для компьютера ArcGIS Data Store.
- Чтобы заменить сертификат, используемый для связи с веб-сервером, запустите утилиту replacesslcertificate с опцией webserver.
- Чтобы заменить сертификат, используемый для обмена данными через порты и между компьютерами хранилища данных, запустите утилиту replacesslcertificate с соответствующим опциями хранилища данных.
В этом примере файл сертификата (casignedcert.pfx) находится в директории cacerts, имеет псевдоним myfilealias, защищен паролем Sec00rit и используется для замены сертификата, используемого для связи с веб-сервером.
./replacesslcertificate.sh /usr/cacerts/casignedcert.pfx "Sec00rit" myfilealias --option webserver
В следующем примере файл сертификата (casignedcert2.pfx) находится в директории certs, имеет псевдоним reldscert, защищен паролем S00per$ecret и используется для замены сертификата, используемого для связи между основным и резервным компьютерами реляционного хранилища данных; связь с компьютерами реляционного хранилища данных осуществляется через порты 2443, 9876, 44369, 45671, 45672 и 50432; а связь для веб-подключений — через порты 25672 и 44369.
./replacesslcertificate.sh /usr/cacerts/casignedcert2.pfx "S00per$ecret" reldscert --option relational
- Если у вас есть несколько компьютеров ArcGIS Data Store, обновите сертификат для каждого из них.
Убедитесь, что сертификат CA используется для связи
Чтобы проверить правильность обновления сертификата веб-сервера, откройте браузер и введите URL-адрес мастера Data Store Configuration. URL-адрес имеет формат https://<fully qualified data store machine name>:2443/arcgis/datastore. Если мастер открывается без предупреждения, связанного с безопасностью, значит ваш сертификат SSL был успешно обновлен для взаимодействия с веб-сервером.
Можете загрузить и запустить команды OpenSSL, чтобы убедиться, что путь к сертификату для подключения к порту больше не содержит самозаверенных сертификатов.