Skip To Content

Настройка HTTPS с использованием нового сертификата, подписанного центром сертификации

В этом разделе показано, как настроить HTTPS для ArcGIS Server с помощью сертификата, подписанного центром сертификации. Для настройки HTTPS с помощью сертификата, подписанного центром сертификации, выполните следующие шаги:

Создание нового самозаверенного сертификата

  1. Войдите в ArcGIS Server Administrator Directory по адресу https://gisserver.domain.com:6443/arcgis/admin.
  2. Перейдите в machines > [имя компьютера] > sslcertificates.
  3. Щёлкните создать
  4. Введите значения параметров на этой странице:

    ОпцияОписание

    Псевдоним

    Уникальное название, которое позволяет легко идентифицировать сертификат.

    Алгоритм ключа

    Используйте RSA (по умолчанию) или DSA.

    Размер ключа

    Задает размер в битах для формирования криптографических ключей, которые используются для создания сертификата. Чем больше размер ключа, тем труднее взломать шифр, однако при этом возрастает время расшифровки данных. Для DSA размер ключа составляет от 512 до 1024. Для RSA рекомендуется использовать размер 2048 или больше.

    Алгоритм подписи

    Используйте алгоритм по умолчанию (SHA256withRSA). Если ваша организация имеет особые параметры безопасности, для DSA можно использовать один из следующих алгоритмов: SHA384withRSA, SHA512withRSA, SHA1withRSA, SHA1withDSA.

    Обычное имя

    Это поле является дополнительным и используется для обратной совместимости с устаревшими веб-браузерами и программным обеспечением. Рекомендуется использовать полное доменное имя для имени вашего сервера в качестве обычного имени.

    Если доступ к серверу будет осуществляться через Интернет по URL-адресу https://www.gisserver.com:6443/arcgis/, используйте www.gisserver.com в качестве обычного имени.

    Если доступ к серверу будет осуществляться только по локальной сети по URL-адресу https://gisserver.domain.com:6443/arcgis, используйте gisserver.domain.com в качестве обычного имени.

    Подразделение организации

    Имя подразделения организации, например, Отдел ГИС.

    Организация

    Имя организации, например, Esri.

    Город

    Название города нахождения, например, Редландс.

    Штат или область

    Полное название штата или области, например, Калифорния.

    Код страны

    Код страны, например, US.

    Срок действия

    Общее время в днях, в течение которого будет действителен этот сертификат, например, 365.

    Альтернативное имя субъекта

    Альтернативное имя субъекта (SAN) используется для проверки того, что сертификат SSL, предоставляемый веб-сайтом, был выдан именно для этого веб-сайта.

    Если не определяется ни одно имя SAN, некоторые веб-браузеры попытаются проверить сертификат SSL, используя параметр Обычное имя (CN), а некоторые браузеры могут отобразить сообщение об ошибке, что сертификат SSL, предоставляемый веб-сайтом, не может быть проверен. Поле SAN поддерживает множество значений. Однако оно должно содержать полное доменное имя веб-сайта. Значение параметра SAN не может содержать пробелов.

    Например, если ваш сервис в основном доступен через адрес URL https://www.esri.com, параметр SAN должен быть установлен на значение DNS:www.esri.com. Если ваш сервер будет доступен с помощью публичного интернета через адрес URL https://www.esri.com и внутри локальной сети вашей организации (LAN) через адрес URL https://gisserver.esri.com, параметр SAN должен быть установлен на значение DNS:www.esri.com,DNS:gisserver.esri.com.

    Использование групповых символов (*.esri.com)) в параметре SAN хоть и поддерживается, но не рекомендуется. Когда один и тот же сертификат используется для нескольких веб-сайтов или суб-доменов, перечислите каждый веб-сайт или суб-домен в параметре SAN, как показано в следующем примере:

    Пример: DNS:www.esri.com,DNS:esri.com,DNS:www.esri.ch,DNS:www.esri.rw,DNS:www.esri.de,DNS:maps.esri.com,DNS:support.esri.com,DNS:pro.arcgis.com.

  5. Щелкните Создать, чтобы сформировать сертификат.

Обращение в центр сертификации с запросом на подпись сертификата

Чтобы веб-браузеры считали сертификат доверенным, он должен быть проверен и получить вторую подпись одного из известных центров сертификации, например – Verisign или Thawte.

  1. Откройте самозаверенный сертификат, созданный вами в предыдущем разделе, и щелкните generateCSR. Скопируйте содержимое в файл, обычно с расширением .csr.
  2. Отправьте CSR-файл в выбранный центр сертификации. Вы можете получить сертификаты с кодировкой Distinguished Encoding Rules (DER) или Base64. Если CA запрашивает тип веб-сервера, для которого готовится сертификат, укажите Other\Unknown или Java Application Server. После проверки вашей личности вам будет отправлен файл .crt или .cer.
  3. Сохраните подписанный сертификат, полученный из центра сертификации, на компьютере, к которому имеется доступ из ArcGIS Server Administrator Directory. Помимо подписанного сертификата центр сертификации также издает корневой сертификат. Сохраните корневой сертификат на компьютере.
  4. Войдите в ArcGIS Server Administrator Directory: https://gisserver.domain.com:6443/arcgis/admin.
  5. Выберите machines > [имя компьютера] > sslcertificates > importRootOrIntermediate, чтобы импортировать корневой сертификат центра сертификации. Если центр сертификации издал дополнительные промежуточные сертификаты, импортируйте их тоже.
  6. Перейдите в меню machines > [имя компьютера] > sslcertificates.
  7. Выберите имя самозаверенного сертификата, направленного в центр сертификации.
  8. Щелкните importSignedCertificate и перейдите к местоположению, где находится сохраненный подписанный сертификат, полученный из центра сертификации.
  9. Щелкните Подтвердить. Он заменит самозаверенный сертификат, который вы создали ранее, на сертификат, подписанный центром сертификации.

Настройте сайт ArcGIS Server на использование сертификата, подписанного центром сертификации.

Примечание:

CRL Distribution Points (CDP), указанный в подписанном CA сертификате, должен быть действительным и доступным с компьютеров, на которых установлен ArcGIS Server. Если CDP, заданный в сертификате, недействителен или недоступен из-за отсутствия доступа к интернету, неполадок в сети или настроек брандмауэра, то публикация из ArcGIS Desktop будет невозможна. Чтобы исправить эту проблему, выполните шаги из раздела Я не могу опубликовать сервис на сайте ArcGIS Server, который использует сертификат, выданный CA главы Часто встречающиеся проблемы и их решения.

  1. Войдите в ArcGIS Server Administrator Directory по адресу https://gisserver.domain.com:6443/arcgis/admin. Замените gisserver.domain.com полным именем компьютера, где установлен ArcGIS Server.
  2. Перейдите к компьютеры > [имя компьютера].
  3. Выберите Редактировать.
  4. Введите имя подписанного сертификата в поле SSL-сертификат веб-сервера. Указанное имя должно соответствовать псевдониму самозаверенного сертификата, который был заменен на заверенный центром сертификации в предыдущем разделе.
  5. Нажмите кнопку Сохранить изменения, чтобы применить изменения. Сайт ArcGIS Server будет автоматически перезагружен.
  6. После перезапуска сайта проверьте, что у вас имеется доступ к URL-адресу https://gisserver.domain.com:6443/arcgis/admin. Если вы не получаете ответа с этого URL-адреса, ArcGIS Server не может использовать указанный SSL-сертификат. Выполните вход в ArcGIS Server Administrator Directory по адресу http://gisserver.domain.com:6080/arcgis/admin, отметьте свой сертификат SSL и настройте ArcGIS Server на использование нового или другого сертификата.
  7. На текущей странице проверьте значение свойства SSL-сертификат веб-сервера, где для HTTPS должен быть указан нужный сертификат.

Настройте каждый компьютер с ArcGIS Server в развертывании

Если ArcGIS Server развернут на нескольких компьютерах, необходимо получить и настроить подписанный центром сертификации сертификат для каждого компьютера с ArcGIS Server, который входит в состав сайта.

Импорт корневого сертификата центра сертификации в хранилище сертификатов Windows

Если в хранилище сертификатов Windows нет корневого сертификата Центра сертификации, его следует импортировать.

  1. Выполните вход на компьютере с ArcGIS Server.
  2. Сохраните на компьютере подписанный сертификат, полученный из центра сертификации.
  3. Откройте этот сертификат и щелкните вкладку Путь к сертификату. Если Статус сертификата: показывает Данный сертификат в порядке., то это значит, что корневой сертификат Центра сертификации имеется в хранилище Windows, и его не надо импортировать. Перейдите к шагу 12.
  4. Сохраните на компьютере корневой сертификат, полученный из центра сертификации.
  5. Откройте этот сертификат и щелкните вкладку Общие. Щелкните кнопку, чтобы Установить сертификат.
  6. Когда Мастер импорта сертификата откроется с панелью Добро пожаловать, нажмите Далее.
  7. На панели Хранилище сертификата выберите опцию Поместить все сертификаты в следующее хранилище.
  8. Щелкните кнопку Обзор. В диалоговом окне Выбрать хранилище сертификата включите опцию Показать физические хранилища.
  9. Раскройте папку Доверенные корневые центры сертификации, чтобы просмотреть ее содержание. Выберите Локальный компьютер в качестве используемого хранилища сертификата. Щелкните ОК.
  10. На панели Хранилище сертификата нажмите Далее.
  11. Щелкните Готово.
  12. Повторите шаги 1-11 для каждого компьютера с ArcGIS Server на вашем сайте.
  13. Перезапустите ArcGIS Server на каждом компьютере.

Настройка HTTPS для сайта

  1. Проверьте, что вы можете получить доступ к URL-адресу https://gisserver.domain.com:6443/arcgis/admin. Если вы не получаете ответа с этого URL-адреса, ArcGIS Server не может использовать указанный сертификат. Проверьте сертификат и настройте ArcGIS Server на использование нового или другого сертификата.
  2. Если доступ к URL-адресу https://gisserver.domain.com:6443/arcgis/admin имеется, перейдите к security > config > update.
  3. Установите параметр Протокол, выбрав опцию Только HTTPS, затем щелкните Обновить.
Примечание:

ArcGIS Web Adaptor потребуется около одной минуты, чтобы распознать изменение протокола связи вашего сайта.

Прежние версии:

В версиях 10.2.1 и ниже требовалась перенастройка ArcGIS Web Adaptor после обновления протокола связи ArcGIS Server. В 10.2.2 и более новых версиях этого больше не требуется.

Доступ к сайту с помощью HTTPS.

После настройки HTTPS, ArcGIS Server прослушивает порт 6443 на наличие HTTPS-запросов. Для безопасного доступа к ArcGIS for Server используйте следующие URL-адреса:

ArcGIS Server Manager

https://gisserver.domain.com:6443/arcgis/manager

ArcGIS Server Services Directory

https://gisserver.domain.com:6443/arcgis/rest/services

Примечание:

Если переименовать ArcGIS Server при включенном протоколе HTTPS, доступ к ArcGIS Server с использованием HTTPS сохранится, однако необходимо создать новый сертификат и настроить ArcGIS Server на его использование.