Когда ArcGIS Web Adaptor настроен на перенаправление запросов на сайт ArcGIS Server, необходимо включить HTTPS на веб-сервере, где находится ArcGIS Web Adaptor, и настроить HTTPS на сайте ArcGIS Server. Чтобы начать, выполните следующие шаги.
- Создайте новый самозаверенный сертификат.
- Отправьте запрос в центр сертификации на подпись сертификата.
- Настройте ArcGIS Server на использование нового сертификата.
- Настройте каждую машину в вашем развертывании.
- Настройте доступ только через HTTPS для вашего сайта.
- Настройте HTTPS на ArcGIS Web Adaptor.
- Осуществите доступ к сайту при помощи HTTPS.
Создание нового самозаверенного сертификата
- Войдите в ArcGIS Server Administrator Directory по адресу https://gisserver.domain.com:6443/arcgis/admin.
- Перейдите в machines > [имя компьютера] > sslcertificates.
- Щёлкните создать
- Введите значения параметров на этой странице:
Опция Описание Псевдоним
Уникальное название, которое позволяет легко идентифицировать сертификат.
Алгоритм ключа
Используйте RSA (по умолчанию) или DSA.
Размер ключа
Задает размер в битах для формирования криптографических ключей, которые используются для создания сертификата. Чем больше размер ключа, тем труднее взломать шифр, однако при этом возрастает время расшифровки данных. Для DSA размер ключа составляет от 512 до 1024. Для RSA рекомендуется использовать размер 2048 или больше.
Алгоритм подписи
Используйте алгоритм по умолчанию (SHA1withRSA). Если ваша организация имеет особые параметры безопасности, для DSA можно использовать один из следующих алгоритмов: SHA256withRSA, SHA384withRSA, SHA512withRSA, SHA1withDSA.
Обычное имя
В качестве обычного имени используйте имя домена сервера.
Если доступ к серверу будет осуществляться через Интернет по URL-адресу https://www.gisserver.com:6443/arcgis/, используйте www.gisserver.com в качестве обычного имени.
Если доступ к серверу будет осуществляться только по локальной сети по URL-адресу https://gisserver.domain.com:6443/arcgis, используйте gisserver.domain.com в качестве обычного имени.
Подразделение организации
Имя подразделения организации, например, Отдел ГИС.
Организация
Имя организации, например, Esri.
Город
Название города нахождения, например, Редландс.
Штат или область
Полное название штата или области, например, Калифорния.
Код страны
Код страны, например, US.
Срок действия
Общее время в днях, в течение которого будет действителен этот сертификат, например, 365.
Альтернативное имя субъекта
Альтернативное имя субъекта (SAN) – это дополнительный параметр, который задает альтернативные имена для общего имени (CN), указанного в сертификате SSL. В значении параметра SAN не может быть пробелов.
Если параметр слева не заполнен, по умолчанию используется полное доменное имя локального компьютера. Поле SAN поддерживает множественные значения; но оно должно содержать полное доменное имя веб-сайта. Например, URL-адреса https://www.esri.com, https://esri и https://10.60.1.16 могут использоваться для доступа к одному и тому же сайту, если сертификат создан с применением следующего значения параметра SAN:
DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- Щелкните Создать, чтобы сформировать сертификат.
Обращение в центр сертификации с запросом на подпись сертификата
Если ArcGIS Web Adaptor будет единственным шлюзом на ваш сайт, а политика IT-безопасности вашей организации разрешает использование самозаверенных сертификатов, вы можете пропустить этот раздел. Но если пользователи хотя бы иногда будут обходить ArcGIS Web Adaptor и подключаться непосредственно к ArcGIS Server, или в IT-политике не разрешено использование самозаверенных сертификатов, рекомендуется направить запрос в центр сертификации (CA) для подписания вашего сертификата, для чего необходимо выполнить следующие шаги.
- Откройте самозаверенный сертификат, созданный вами в предыдущем разделе, и щелкните generateCSR. Скопируйте содержимое в файл (обычно с расширением CSR).
- Отправьте CSR-файл в выбранный центр сертификации. Вы можете получить сертификаты с кодировкой Distinguished Encoding Rules (DER) или Base64. Если CA запрашивает тип веб-сервера, для которого готовится сертификат, укажите Other\Unknown или Java Application Server. После проверки вашей личности вам будет отправлен файл *.crt или *.cer.
- Сохраните подписанный сертификат, полученный из центра сертификации, на компьютере. Помимо подписанного сертификата центр сертификации также издает корневой сертификат. Сохраните корневой сертификат на компьютере.
- Выполните вход в ArcGIS Server Administrator Directory: https://gisserver.domain.com:6443/arcgis/admin.
- Выберите machines > [имя компьютера] > sslcertificates > importRootOrIntermediate, чтобы импортировать корневой сертификат центра сертификации. Если центр сертификации издал дополнительные промежуточные сертификаты, импортируйте их тоже.
- Перейдите в меню machines > [имя компьютера] > sslcertificates.
- Выберите имя самозаверенного сертификата, направленного в центр сертификации.
- Щелкните importSignedCertificate и перейдите к местоположению, где находится сохраненный подписанный сертификат, полученный из центра сертификации.
- Щелкните Подтвердить. Он заменит самозаверенный сертификат, который вы создали ранее, на сертификат, подписанный центром сертификации.
Настройка ArcGIS Server на использование сертификата
Чтобы указать сертификат, который должен использоваться ArcGIS Server, выполните следующие действия:
- Войдите в ArcGIS Server Administrator Directory по адресу https://gisserver.domain.com:6443/arcgis/admin.
- Перейдите к компьютеры > [имя компьютера].
- Выберите Редактировать.
- Введите имя сертификата, который будет использоваться, в поле SSL-сертификат веб-сервера.
- Нажмите кнопку Сохранить изменения, чтобы применить изменения. Сайт ArcGIS Server будет автоматически перезагружен.
- После перезапуска сайта проверьте, что у вас имеется доступ к URL-адресу https://gisserver.domain.com:6443/arcgis/admin. Если вы не получаете ответа с этого URL-адреса, ArcGIS Server не может использовать указанный SSL-сертификат. Проверьте сертификат SSL и настройте ArcGIS Server на использование нового или другого сертификата.
- На текущей странице проверьте значение свойства SSL-сертификат веб-сервера, где для HTTPS должен быть указан нужный SSL-сертификат.
Настройка каждой машины в вашем развертывании
Если в развертывании ArcGIS Server имеется несколько машин, необходимо настроить каждую из них на использование сертификата. Повторите шаги предыдущего раздела, чтобы настроить сертификат на каждой из машин ArcGIS Server.
Настройка доступа только через HTTPS для вашего сайта
- Войдите в ArcGIS Server Administrator Directory по адресу https://gisserver.domain.com:6443/arcgis/admin.
- Перейдите в меню security > config > update.
- Установите параметр Протокол, выбрав опцию Только HTTPS, затем щелкните Обновить. ArcGIS Server будет перезапущен.
- После перезапуска сервера проверьте, что ArcGIS Server доступен по URL-адресу HTTPS, например, https://gisserver.domain.com:6443/arcgis/rest/services.
Настройка HTTPS на ArcGIS Web Adaptor
Включите HTTPS на веб-сервере, где размещен ArcGIS Web Adaptor. Полные инструкции можно найти в документации к вашему веб-серверу. Подробнее о HTTPS см. в разделе Включение HTTPS на веб-сервере.
Прежние версии:
В версии 10.2.1 и более ранних требовалась перенастройка ArcGIS Web Adaptor после обновления протокола связи ArcGIS Server. В 10.2.2 и более новых версиях этого больше не требуется.
Доступ к сайту с помощью HTTPS.
После настройки HTTPS вы можете безопасно производить доступ непосредственно на ArcGIS Server через HTTPS, используя порт 6443 или URL-адрес Web Adaptor. Если переименовать ArcGIS Server при включенном протоколе HTTPS, доступ к ArcGIS Server с использованием HTTPS сохранится; однако необходимо создать новый сертификат и настроить ArcGIS Server на его использование. URL-адреса имеют следующий формат:
ArcGIS Server Manager | Доступ к Manager через сервер: https://gisserver.domain.com:6443/arcgis/manager. Доступ к Manager через ArcGIS Web Adaptor (только если включен административный доступ): https://webadaptorhost.domain.com/webadaptorname/manager. |
ArcGIS Server Services Directory | Доступ к Services Directory через сервер: https://gisserver.domain.com:6443/arcgis/rest/services. Доступ к Services Directory через ArcGIS Web Adaptor: https://webadaptorhost.domain.com/webadaptorname/rest/services. |