В этом разделе показано, как настроить HTTPS для ArcGIS Server с помощью сертификата, подписанного центром сертификации. Для настройки HTTPS с помощью сертификата, подписанного центром сертификации, выполните следующие шаги:
- Создайте новый самозаверяющийся сертификат.
- Отправьте запрос в центр сертификации на подпись сертификата.
- Настройте ArcGIS Server для использования сертификата, подписанного центром сертификации.
- Настройка всех ГИС-серверов в развернутой системе.
- Импортируйте корневой сертификат центра сертификации в хранилище сертификатов операционной системы.
- Настройка HTTPS для сайта.
- Доступ к сайту с помощью HTTPS.
Создание нового самозаверяющегося сертификата
- Войдите в ArcGIS Server Administrator Directory по адресу https://gisserver.domain.com:6443/arcgis/admin.
- Перейдите в machines > [имя компьютера] > sslcertificates.
- Щёлкните создать
- Введите значения параметров на этой странице:
Опция Описание Псевдоним
Уникальное название, которое позволяет легко идентифицировать сертификат.
Алгоритм ключа
Используйте RSA (по умолчанию) или DSA.
Размер ключа
Задает размер в битах для формирования криптографических ключей, которые используются для создания сертификата. Чем больше размер ключа, тем труднее взломать шифр, однако при этом возрастает время расшифровки данных. Для DSA размер ключа составляет от 512 до 1024. Для RSA рекомендуется использовать размер 2048 или больше.
Алгоритм подписи
Используйте алгоритм по умолчанию (SHA1withRSA). Если ваша организация имеет особые параметры безопасности, для DSA можно использовать один из следующих алгоритмов: SHA256withRSA, SHA384withRSA, SHA512withRSA, SHA1withDSA.
Обычное имя
В качестве обычного имени используйте имя домена сервера.
Если доступ к серверу будет осуществляться через Интернет по URL-адресу https://www.gisserver.com:6443/arcgis/, используйте www.gisserver.com в качестве обычного имени.
Если доступ к серверу будет осуществляться только по локальной сети по URL-адресу https://gisserver.domain.com:6443/arcgis, используйте gisserver.domain.com в качестве обычного имени.
Подразделение организации
Имя подразделения организации, например, Отдел ГИС.
Организация
Имя организации, например, Esri.
Город
Название города нахождения, например, Редландс.
Штат или область
Полное название штата или области, например, Калифорния.
Код страны
Код страны, например, US.
Срок действия
Общее время в днях, в течение которого будет действителен этот сертификат, например, 365.
Альтернативное имя субъекта
Альтернативное имя субъекта (SAN) – это дополнительный параметр, который задает альтернативные имена для общего имени (CN), указанного в сертификате SSL. В значении параметра SAN не может быть пробелов.
Если SAN не задано, доступ к веб-сайту (без ошибок сертификата SSL) можно получить только по общему имени, указанному в URL-адресе. Если задан SAN и имеется DNS-имя, доступ к веб-сайту можно получить только по тому, что указано в SAN. При желании можно задать несколько DNS имен. Например, URL-адреса https://www.esri.com, https://esri и https://10.60.1.16 могут использоваться для доступа к одному и тому же сайту, если сертификат создан с применением следующего значения параметра SAN:
DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- Щелкните Создать, чтобы сформировать сертификат.
Обращение в центр сертификации с запросом на подпись сертификата
Чтобы веб-браузеры считали сертификат доверенным, он должен быть проверен и получить вторую подпись одного из известных центров сертификации, например – Verisign или Thawte.
- Откройте самозаверяющийся сертификат, созданный вами в предыдущем разделе, и щелкните generateCSR. Скопируйте содержимое в файл (обычно с расширением CSR).
- Отправьте CSR-файл в выбранный центр сертификации. Вы можете получить сертификаты с кодировкой Distinguished Encoding Rules (DER) или Base64. Если CA запрашивает тип веб-сервера, для которого готовится сертификат, укажите Other\Unknown или Java Application Server. После проверки вашей личности вам будет отправлен файл *.crt или *.cer.
- Сохраните подписанный сертификат, полученный из центра сертификации, на компьютере. Помимо подписанного сертификата центр сертификации также издает корневой сертификат. Сохраните корневой сертификат на компьютере.
- Выполните вход в ArcGIS Server Administrator Directory: https://gisserver.domain.com:6443/arcgis/admin.
- Выберите machines > [имя компьютера] > sslcertificates > importRootOrIntermediate, чтобы импортировать корневой сертификат центра сертификации. Если центр сертификации издал дополнительные промежуточные сертификаты, импортируйте их тоже.
- Перейдите в меню machines > [имя компьютера] > sslcertificates.
- Выберите имя самозаверяющегося сертификата, направленного в центр сертификации.
- Щелкните importSignedCertificate и перейдите к местоположению, где находится сохраненный подписанный сертификат, полученный из центра сертификации.
- Щелкните Подтвердить. Он заменит самозаверяющийся сертификат, который вы создали ранее, на сертификат, подписанный центром сертификации.
Настройте ArcGIS Server для использования сертификата, подписанного центром сертификации.
- Выполните вход в ArcGIS Server Administrator Directory по адресу https://gisserver.domain.com:6443/arcgis/admin.
- Перейдите к компьютеры > [имя компьютера].
- Выберите Редактировать.
- Введите имя подписанного сертификата в поле SSL-сертификат веб-сервера. Указанное имя должно соответствовать псевдониму самозаверяющегося сертификата, который был заменен на подписанный центром сертификации в предыдущем разделе.
- Нажмите кнопку Сохранить изменения, чтобы применить изменения. Сайт ArcGIS Server будет автоматически перезагружен.
- После перезапуска сайта проверьте, что у вас имеется доступ к URL-адресу https://gisserver.domain.com:6443/arcgis/admin. Если вы не получаете ответа с этого URL-адреса, ArcGIS Server не может использовать указанный SSL-сертификат. Выполните вход в ArcGIS Server Administrator Directory по адресу http://gisserver.domain.com:6080/arcgis/admin, отметьте свой сертификат SSL и настройте ArcGIS Server на использование нового или другого сертификата.
- На текущей странице проверьте значение свойства SSL-сертификат веб-сервера, где для HTTPS должен быть указан нужный сертификат.
Настройка всех ГИС-серверов в вашей боевой среде
Если в развертывании ArcGIS Server имеется несколько компьютеров, необходимо получить и настроить подписанный центром сертификации сертификат для каждого ГИС-сервера, который используется на сайте.
Импортируйте корневой сертификат центра сертификации в хранилище сертификатов операционной системы.
- На компьютере, содержащем ArcGIS Server, перейдите в директорию <папка установки ArcGIS Server>/arcgis/server/usr и откройте скрипт init_user_param.sh в текстовом редакторе.
- Найдите строку export CA_ROOT_CERTIFICATE_DIR=<Location_to_CA_Root_Certificate> и укажите местоположение, где хранятся все корневые сертификаты центра сертификации. Имейте ввиду, что указанная директория должна быть доступна той учетной записи, которая использовалась для установки ArcGIS Server. Вам потребуется снять комментарии в этих строках, удалив знаки решетки [#].
- Сохраните и закройте скрипт init_user_param.sh.
- Повторите шаги 1-3 для каждого ГИС-сервера на вашем сайте.
- Перезапустите ArcGIS for Server. Вы можете сделать это, выполнив скрипт startserver.sh для каждого ГИС-сервера вашего сайта.
Настройка HTTPS для сайта
- Проверьте, что вы можете получить доступ к URL-адресу https://gisserver.domain.com:6443/arcgis/admin. Если вы не получаете ответа с этого URL-адреса, ArcGIS Server не может использовать указанный сертификат. Проверьте сертификат и настройте ArcGIS Server на использование нового или другого сертификата.
- Если доступ к URL-адресу https://gisserver.domain.com:6443/arcgis/admin имеется, перейдите к security > config > update.
- Установите параметр Протокол, выбрав опцию Только HTTPS, затем щелкните Обновить.
Примечание:
ArcGIS Web Adaptor потребуется около одной минуты, чтобы распознать изменение протокола связи вашего сайта.
Прежние версии:
В версиях 10.2.1 и ниже требовалась перенастройка ArcGIS Web Adaptor после обновления протокола связи ArcGIS Server. В 10.2.2 и более новых версиях этого больше не требуется.
Доступ к сайту с помощью HTTPS
После настройки HTTPS, ArcGIS Server прослушивает порт 6443 на наличие HTTPS-запросов. Для безопасного доступа к ArcGIS for Server используйте следующие URL-адреса:
ArcGIS Server Manager | https://gisserver.domain.com:6443/arcgis/manager |
ArcGIS Server Services Directory | https://gisserver.domain.com:6443/arcgis/rest/services |
Примечание:
Если переименовать ArcGIS Server при включенном протоколе HTTPS, доступ к ArcGIS Server с использованием HTTPS сохранится, однако необходимо создать новый сертификат и настроить ArcGIS Server на его использование.