Skip To Content

将证书导入到门户

HTTPS 是加密通信往返 Web 服务器的方法。HTTPS 也允许客户端应用程序确认 Web 服务器的标识。使用 HTTPS 时,启用 HTTPS 的每个 Web 服务器必须向客户端发送证书。证书包含标识语句 (gis.mycity.gov) 以及客户端用于将加密信息发送至 Web 服务器的公钥。

Portal for ArcGIS 通常会传输需要进行加密的信息;因此,HTTPS 在门户中始终处于启用状态。强烈建议由公司(内部)或商业证书颁发机构 (CA) 对所使用的证书进行签名。门户自身带有自签名证书。自签名证书表示客户端不能验证服务器的标识。使用 CA 签名证书替换自签名证书可显著提高部署的安全性。

在门户中使用 CA 签名证书有两种方法:

有关这些流程的完整说明,请参阅以下各部分中的步骤。

生成新的 CA 签名证书

可使用由公司(内部)或商业 CA 签名的新证书来启用 HTTPS。步骤如下:

生成新证书

  1. 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptor.domain.com/arcgis/portaladmin
  2. 单击安全性 > SSLCertificates > 生成
  3. 生成证书页面中,输入以下信息:
    • 别名 - 用于确定证书名称的唯一名称(例如 portalcert)。
    • 密钥算法 - RSA(默认)或 DSA。
    • 密钥大小 - 指定生成的用于创建证书的密钥的大小(单位为位)。密钥越大,就越难解密;但是,解密数据的时间也会随着密钥的增大而增加。对于 RSA,推荐的密钥大小为 2,048 或更大。对于 DSA,密钥大小位于 512 和 1,024 之间。
    • 签名算法 - 使用默认 (SHA1withRSA)。如果组织有特定的安全性限制,则可以针对 DSA 使用以下算法之一:SHA256withRSASHA384withRSASHA512withRSASHA1withDSA
    • 公用名 - 门户计算机的完全限定的域名。
    • 组织单位 - 对您站点的用户有意义的部门名称(例如 GIS Department)。
    • 组织 - 组织名称(例如 Esri)。
    • 城市或所在地 - 城市或所在地的名称(例如 Redlands)。
    • 州或省 - 州或省的名称(例如 California)。
    • 国家代码 - 您的组织所在的国家的代码,此代码由两个字母组成(例如 US)。
    • 有效期 - 证书有效的天数(例如 365)。
    • 主题备选名称 - 用于为证书中指定的常用名称 (CN) 定义备选名称的可选参数。如果未定义 SAN,则只能 使用 URL 中的常用名称访问网站(无证书错误)。通过 SAN,证书允许使用不同的 URL 访问同一网站。例如,如果使用以下参数值创建证书,则可利用 URL https://www.esri.comhttps://esrihttps://10.60.1.16 访问同一站点:

      CN=www.esri.com

      SAN=DNS:esri, IP:10.60.1.16

  4. 单击生成。证书链接将显示在证书页面上。

请求 CA 为证书签名

为使 web 浏览器信任您的证书,必须由 CA(例如您的组织、Verisign 或 Thawte)对其进行验证和会签。

  1. 在证书页面上单击证书名称。
  2. 单击 GenerateCSR。在生成 CSR 页面上,将 CSR 内容复制粘贴到文件中。以 .csr 扩展名保存该文件(例如 portalcert.csr)。
  3. 将 CSR 提交至 CA。建议您获得可分辨编码规则 (DER) 或 Base64 编码的证书。如果 CA 要求提供证书所针对的 Web 服务器类型,请指定其他\未知Java 应用程序服务器。验证您的身份后,CA 将为您发送扩展名为 .crt.cer 的文件。
  4. 将从 CA 接收的签名证书保存到门户计算机的某个位置。除了签名证书以外,CA 还会颁发根证书。将 CA 根证书保存到门户计算机上。
  5. 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptor.domain.com/arcgis/portaladmin
  6. 单击安全性 > SSLCertificates > 导入根证书或中间证书
  7. 浏览至 CA 提供的根证书的位置。单击导入。如果 CA 颁发了其他中间证书,则将这些证书一起导入。不要导入签名证书。
  8. 单击安全性 > SSLCertificates
  9. 单击在前一部分中生成的证书的名称(例如 portalcert)。
  10. 单击导入已签名证书并浏览到用于保存从 CA 接收的签名证书的位置。
  11. 单击导入。在之前部分中创建的证书将由 CA 签名证书替换。

配置 Portal for ArcGIS 以使用 CA 签名证书

  1. 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptor.domain.com/arcgis/portaladmin
  2. 单击安全性 > SSLCertificates > 更新
  3. Web 服务器 SSL 证书字段中,输入 CA 签名证书的别名。所指定的别名应与之前部分中 CA 签名证书所替换掉的证书的别名相匹配。
  4. 单击更新

CA 签名证书现将用于 HTTPS。

验证您是否可以使用 HTTPS 访问门户

测试以下 URL 以验证是否可使用 HTTPS 访问门户:https://portalhost.domain.com:7443/arcgis/home

使用现有的 CA 签名证书

如果已具有由公司(内部)或商业 CA 颁发的证书,则可使用此证书来启用 HTTPS。

导入根 CA 证书

  1. 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptor.domain.com/arcgis/portaladmin
  2. 单击安全性 > SSLCertificates > 导入根证书或中间证书
  3. 浏览至 CA 提供的根证书的位置。单击导入。如果 CA 颁发了其他中间证书,则将这些证书一起导入。不要导入 CA 签名证书。
  4. 重新启动 Portal for ArcGIS 服务。

导入现有的 CA 签名证书

警告:

为将证书导入您的门户,必须以 PKCS#12 格式存储此证书及其关联私钥(表示为具有 .p12 或 .pfx 扩展名的文件)。

  1. 单击安全性 > SSLCertificates > 导入现有的服务器证书
  2. 导入现有的服务器证书页面上,指定以下信息:
    • 证书口令 - 输入口令以解锁包含证书的文件。
    • 别名 - 输入可轻松确定证书的唯一名称(例如 rootcert)。
  3. 浏览至现有 CA 签名证书的位置。单击导入

配置 Portal for ArcGIS 以使用 CA 签名证书

  1. 单击安全性 > SSLCertificates > 更新
  2. Web 服务器 SSL 证书字段中,输入现有 CA 签名证书的别名。
  3. 单击更新

现有 CA 签名证书现将用于 HTTPS。

验证您是否可以使用 HTTPS 访问门户

测试以下 URL 以验证是否可使用 HTTPS 访问门户:https://portalhost.domain.com:7443/arcgis/home