Skip To Content

Заменить SSL-сертификаты ArcGIS Data Store

Самозаверенный сертификат SSL используется для следующих взаимодействий ArcGIS Data StoreArcGIS Data Store:

  • Мастер настройки Data Store Configuration обращается к файлам ArcGIS Data Store через веб-сервер
  • Связь через веб-сервер между хост-сервером и компьютерами ArcGIS Data Store
  • Обмен данными по портам между отдельными компьютерами и внутри них в реляционном хранилище данных, хранилище данных полистного кэша, хранилище объектов или хранилище графов.
  • Связь через порты между хост-сервером и любым компьютером ArcGIS Data Store

Если для вашей организации требуется, чтобы эти взаимодействия был защищены сертификатом SSL, подтвержденным и подписанным центром сертификации (CA), или созданным для вашего собственного домена, то можете использовать утилиту replacesslcertificate для замены самозаверенного сертификата сертификатом, подписанным центром CA, или сертификатом домена.

Файл сертификата должен быть в формате PKCS12 с расширением .pfx или .p12, и его необходимо импортировать на каждый компьютер, где установлен ArcGIS Data Store.

Для обновления сертификата SSL на компьютере ArcGIS Data Store выполните следующие шаги:

  1. Получите сертификат SSL в центре сертификации либо создайте сертификат домена.
  2. Создайте файл формата PKCS и задайте для него пароль и псевдоним.
  3. Запустите утилиту replacesslcertificate для замены самозаверенного сертификата SSL для компьютера ArcGIS Data Store.
    • Чтобы заменить сертификат, используемый для связи с веб-сервером, запустите утилиту replacesslcertificate с опцией webserver.
    • Чтобы заменить сертификат, используемый для обмена данными через порты и между компьютерами хранилища данных, запустите утилиту replacesslcertificate с соответствующим опциями хранилища данных.

    В этом примере файл сертификата (casignedcert.pfx) находится в директории cacerts, имеет псевдоним myfilealias, защищен паролем Sec00rit и используется для замены сертификата, используемого для связи с веб-сервером.

    ./replacesslcertificate.sh /usr/cacerts/casignedcert.pfx "Sec00rit" myfilealias --option webserver

    В следующем примере файл сертификата (casignedcert2.pfx) находится в директории certs, имеет псевдоним reldscert, защищен паролем S00per$ecret и используется для замены сертификата, используемого для связи между основным и резервным компьютерами реляционного хранилища данных; связь с компьютерами реляционного хранилища данных осуществляется через порты 2443, 9876, 44369, 45671, 45672 и 50432; а связь для веб-подключений — через порты 25672 и 44369.

    ./replacesslcertificate.sh /usr/cacerts/casignedcert2.pfx "S00per$ecret" reldscert --option relational

  4. Если у вас есть несколько компьютеров ArcGIS Data Store, обновите сертификат для каждого из них.

Убедитесь, что сертификат CA используется для связи

Чтобы проверить правильность обновления сертификата веб-сервера, откройте браузер и введите URL-адрес мастера Data Store Configuration. URL-адрес имеет формат https://<fully qualified data store machine name>:2443/arcgis/datastore. Если мастер открывается без предупреждения, связанного с безопасностью, значит ваш сертификат SSL был успешно обновлен для взаимодействия с веб-сервером.

Можете загрузить и запустить команды OpenSSL, чтобы убедиться, что путь к сертификату для подключения к порту больше не содержит самозаверенных сертификатов.