В этом разделе показано, как настроить HTTPS для ArcGIS Server с использованием самозаверенного сертификата. Для настройки HTTPS с помощью самозаверенного сертификата, выполните следующие шаги:
Создание самозаверенного сертификата
- Войдите в ArcGIS Server Administrator Directory по адресу https://gisserver.domain.com:6443/arcgis/admin.
- Перейдите в machines > [имя компьютера] > sslcertificates.
- Щёлкните создать
- Введите значения параметров на этой странице:
Опция Описание Псевдоним
Уникальное название, которое позволяет легко идентифицировать сертификат.
Алгоритм ключа
Используйте RSA (по умолчанию) или DSA.
Размер ключа
Задает размер в битах для формирования криптографических ключей, которые используются для создания сертификата. Чем больше размер ключа, тем труднее взломать шифр, однако при этом возрастает время расшифровки данных. Для DSA размер ключа составляет от 512 до 1024. Для RSA рекомендуется использовать размер 2048 или больше.
Алгоритм подписи
Используйте алгоритм по умолчанию (SHA256withRSA). Если ваша организация имеет особые параметры безопасности, для DSA можно использовать один из следующих алгоритмов: SHA384withRSA, SHA512withRSA, SHA1withRSA, SHA1withDSA.
Обычное имя
Это поле является дополнительным и используется для обратной совместимости с устаревшими веб-браузерами и программным обеспечением. Рекомендуется использовать полное доменное имя для имени вашего сервера в качестве обычного имени.
Если доступ к серверу будет осуществляться через Интернет по URL-адресу https://www.gisserver.com:6443/arcgis/, используйте www.gisserver.com в качестве обычного имени.
Если доступ к серверу будет осуществляться только по локальной сети по URL-адресу https://gisserver.domain.com:6443/arcgis, используйте gisserver.domain.com в качестве обычного имени.
Подразделение организации
Имя подразделения организации, например, Отдел ГИС.
Организация
Имя организации, например, Esri.
Город
Название города нахождения, например, Редландс.
Штат или область
Полное название штата или области, например, Калифорния.
Код страны
Код страны, например, US.
Срок действия
Общее время в днях, в течение которого будет действителен этот сертификат, например, 365.
Альтернативное имя субъекта
Альтернативное имя субъекта (SAN) используется для проверки того, что сертификат SSL, предоставляемый веб-сайтом, был выдан именно для этого веб-сайта.
Если параметр слева не заполнен, по умолчанию используется полное доменное имя локального компьютера. Поле SAN поддерживает множественные значения; но оно должно содержать полное доменное имя веб-сайта. Значение параметра SAN не может содержать пробелов.
Например, если ваш сервис в основном доступен через адрес URL https://www.esri.com, параметр SAN должен быть установлен на значение DNS:www.esri.com. Если ваш сервер будет доступен с помощью публичного интернета через адрес URL https://www.esri.com и внутри локальной сети вашей организации (LAN) через адрес URL https://gisserver.esri.com, параметр SAN должен быть установлен на значение DNS:www.esri.com,DNS:gisserver.esri.com.
Использование групповых символов (*.esri.com)) в параметре SAN хоть и поддерживается, но не рекомендуется. Когда один и тот же сертификат используется для нескольких веб-сайтов или субдоменов, перечислите каждый веб-сайт или субдомен в параметре SAN, как показано в следующем примере:
Пример: DNS:www.esri.com,DNS:esri.com,DNS:www.esri.ch,DNS:www.esri.rw,DNS:www.esri.de,DNS:maps.esri.com,DNS:support.esri.com,DNS:pro.arcgis.com.
- Щелкните Создать, чтобы сформировать сертификат.
Настройка ArcGIS Server на использование сертификата
Чтобы указать сертификат, который должен использоваться ArcGIS Server, выполните следующие действия:
- Войдите в ArcGIS Server Administrator Directory по адресу https://gisserver.domain.com:6443/arcgis/admin.
- Перейдите к компьютеры > [имя компьютера].
- Выберите Редактировать.
- Введите имя сертификата, который будет использоваться, в поле SSL-сертификат веб-сервера.
- Нажмите кнопку Сохранить изменения, чтобы применить изменения. Сайт ArcGIS Server будет автоматически перезагружен.
- После перезапуска сайта проверьте, что у вас имеется доступ к URL-адресу https://gisserver.domain.com:6443/arcgis/admin. Если вы не получаете ответа с этого URL-адреса, ArcGIS Server не может использовать сертификат. Выполните вход в ArcGIS Server Administrator Directory по адресу http://gisserver.domain.com:6080/arcgis/admin, отметьте свой сертификат SSL и настройте ArcGIS Server на использование нового или другого сертификата.
- На текущей странице проверьте значение свойства SSL-сертификат веб-сервера, где для HTTPS должен быть указан нужный сертификат.
Настройка каждой машины в вашем развертывании
Если в развернутой системе ArcGIS Server имеется несколько компьютеров, необходимо создать новый самозаверенный сертификат для каждого компьютера сервера, который используется в сайте, и настроить этот компьютер на использование этого сертификата.
Доступ к сайту
При включенном по умолчанию HTTPS ArcGIS Server слушает порт 6443 для запросов. Для безопасного доступа к ArcGIS Server используйте следующие URL-адреса:
ArcGIS Server Manager | https://gisserver.domain.com:6443/arcgis/manager |
ArcGIS Server Services Directory | https://gisserver.domain.com:6443/arcgis/rest/services |
Примечание:
Если переименовать ArcGIS Server, доступ к ArcGIS Server с использованием HTTPS сохранится; однако необходимо создать новый сертификат и настроить ArcGIS Server на его использование.
Импорт сертификата в хранилище сертификатов операционной системы
Чтобы сервисы ArcGIS, такие как PrintingTools, работали с ArcGIS Server, сертификат должен быть установлен как доверенный:
- Войдите в ArcGIS Server Administrator Directory.
- Перейдите в меню machines > [имя компьютера] > sslcertificates.
- Щелкните на сертификате, используемом ArcGIS Server, и выберите экспорт. Сохраните файл на вашем компьютере.
- Откройте Менеджер сертификатов. Для этого нажмите кнопку Пуск и введите в окне поиска certmgr.msc, после чего нажмите клавишу Enter.
- В окне Менеджер сертификатов щелкните Доверенные корневые центры сертификации и выберите Сертификаты.
- В верхнем меню щелкните Действие и выберите Все задачи > Импортировать.
- В диалоговом окне Мастер импорта сертификатов щелкните Далее и следуйте инструкциям мастера для импорта сертификата.
- Повторите вышеуказанные шаги для каждого ГИС-сервера вашего сайта.