Skip To Content

Включение SSL с помощью самозаверяющегося сертификата

В этом разделе

В этом разделе будет показано, как включить SSL для ArcGIS Server с помощью самозаверяющегося сертификата. Для включения SSL с помощью самозаверяющегося сертификата выполните следующие шаги:

Создание нового самозаверяющегося сертификата

  1. Войдите в ArcGIS Server Administrator Directory по адресу http://gisserver.domain.com:6080/arcgis/admin.
  2. Перейдите в machines > [имя компьютера] > sslcertificates.
  3. Щёлкните создать (generate)
  4. Введите значения параметров на этой странице:

    ОпцияОписание

    Псевдоним

    Уникальное название, которое позволяет легко идентифицировать сертификат.

    Алгоритм ключа

    Используйте RSA (по умолчанию) или DSA.

    Размер ключа

    Задает размер в битах для формирования криптографических ключей, которые используются для создания сертификата. Чем больше размер ключа, тем труднее взломать шифр, однако при этом возрастает время расшифровки данных. Для DSA размер ключа составляет от 512 до 1024. Для RSA рекомендуется использовать размер 2048 или больше.

    Алгоритм подписи

    Используйте алгоритм по умолчанию (SHA1withRSA). Если ваша организация имеет особые параметры безопасности, для DSA можно использовать один из следующих алгоритмов: SHA256withRSA, SHA384withRSA, SHA512withRSA, SHA1withDSA.

    Обычное имя

    В качестве обычного имени используйте имя домена сервера.

    Если доступ к серверу будет осуществляться через Интернет по URL-адресу https://www.gisserver.com:6443/arcgis/, используйте www.gisserver.com в качестве обычного имени.

    Если доступ к серверу будет осуществляться только по локальной сети по URL-адресу https://gisserver.domain.com:6443/arcgis, используйте gisserver в качестве обычного имени.

    Подразделение организации

    Имя подразделения организации, например, Отдел ГИС.

    Организация

    Имя организации, например, Esri.

    Город

    Название города нахождения, например, Редландс.

    Штат или область

    Полное название штата или области, например, Калифорния.

    Код страны

    Код страны, например, US.

    Срок действия

    Общее время в днях, в течение которого будет действителен этот сертификат, например, 365.

    Альтернативное имя субъекта (Subject Alternative Name)

    Альтернативное имя субъекта (SAN) – это дополнительный параметр, который задает альтернативные имена для общего имени (CN), указанного в сертификате SSL. В значении параметра SAN не может быть пробелов.

    Если SAN не задано, доступ к веб-сайту (без ошибок сертификата SSL) можно получить только по общему имени, указанному в URL-адресе. Если задан SAN и имеется DNS-имя, доступ к веб-сайту можно получить только по тому, что указано в SAN. При желании можно задать несколько DNS имен. Например, URL-адреса https://www.esri.com, https://esri и https://10.60.1.16 могут использоваться для доступа к одному и тому же сайту, если сертификат SSL создан с применением следующего значения параметра SAN:

    DNS:www.esri.com,DNS:esri,IP:10.60.1.16

  5. Щелкните Создать, чтобы создать сертификат.

Настройка использования SSL-сертификата в ArcGIS Server

Чтобы указать SSL-сертификат, который должен использоваться в ArcGIS Server, выполните следующие действия:

  1. Войдите в ArcGIS Server Administrator Directory по адресу http://gisserver.domain.com:6080/arcgis/admin.
  2. Перейдите к компьютеры (machines) > [machine name].
  3. Выберите Редактировать (Edit).
  4. Введите имя SSL-сертификата, который будет использоваться, в поле SSL-сертификат веб-сервера.
  5. Нажмите кнопку Сохранить изменения, чтобы применить изменения.
  6. На текущей странице проверьте значение свойства SSL-сертификат веб-сервера (Web server SSL Certificate), где для SSL должен быть указан нужный SSL-сертификат.

Настройка всех ГИС-серверов в развернутой системе

Если в развернутой системе ArcGIS Server имеется несколько компьютеров, необходимо создать новый самозаверяющийся сертификат для каждого ГИС-сервера, который используется в сайте, и настроить ГИС-сервер на использование этого сертификата.

Включение SSL для сайта

  1. Войдите в ArcGIS Server Administrator Directory по адресу http://gisserver.domain.com:6080/arcgis/admin.
  2. Перейдите в меню security > config > update.
  3. Для параметра Протокол выберите HTTP и HTTPS и щелкните Обновить. Сайт ArcGIS Server будет автоматически перезагружен.
  4. После перезапуска сайта проверьте, что у вас имеется доступ к URL-адресу https://gisserver.domain.com:6443/arcgis/admin. Если вы не получаете ответа с этого URL-адреса, ArcGIS Server не может использовать указанный SSL-сертификат. Проверьте сертификат SSL и настройте ArcGIS Server на использование нового или другого сертификата SSL.
  5. Если доступ к URL-адресу https://gisserver.domain.com:6443/arcgis/admin имеется, перейдите к security > config > update.
  6. Установите параметр Протокол, выбрав опцию Только HTTPS, затем щелкните Обновить.
Примечание:

ArcGIS Web Adaptor потребуется около одной минуты, чтобы распознать изменение протокола связи вашего сайта.

Прежние версии:

В версиях 10.2.1 и ниже требовалась перенастройка ArcGIS Web Adaptor после обновления протокола связи ArcGIS Server. В 10.2.2 и более новых версиях этого больше не требуется.

Доступ к сайту с помощью SSL

После настройки SSL ArcGIS for Server прослушивает порт 6443 на предмет HTTPS-запросов. Для безопасного доступа к ArcGIS for Server используйте следующие URL-адреса:

ArcGIS Server Manager

https://gisserver.domain.com:6443/arcgis/manager

ArcGIS Server Services Directory

https://gisserver.domain.com:6443/arcgis/rest/services

Примечание:

Если переименовать ArcGIS Server при включенном протоколе SSL, доступ к ArcGIS Server с использованием SSL сохранится, однако необходимо создать новый SSL-сертификат и настроить ArcGIS Server на его использование.

Импорт сертификата в хранилище сертификатов операционной системы

Чтобы сервисы ArcGIS, такие как PrintingTools, работали с ArcGIS Server с включенным SSL, сертификат должен быть установлен как доверенный:

  1. Войдите в ArcGIS Server Administrator Directory.
  2. Перейдите в machines > [имя_компьютера] > sslcertificates.
  3. Щелкните на SSL-сертификате, используемом ArcGIS Server, и выберите export. Сохраните файл на вашем компьютере.
  4. Откройте Менеджер сертификатов (Certificate Manager). Для этого нажмите кнопку Старт (Start) и введите в окне поиска certmgr.msc, после чего нажмите клавишу Ввод (Enter).
  5. В окне Менеджер сертификатов (Certificate Manager) щелкните Доверенные корневые центры сертификации (Trusted Root Certificate Authorities) и выберите Сертификаты (Certificates).
  6. В верхнем меню щелкните Действие (Action) и выберите Все задачи (All Tasks) > Импортировать (Import).
  7. В диалоговом окне Мастер импорта сертификатов (Certificate Import Wizard) щелкните Далее (Next) и следуйте инструкциям мастера для импорта сертификата.
  8. Повторите вышеуказанные шаги для каждого ГИС-сервера вашего сайта.