HTTPS 是加密通信往返 Web 服务器的方法。HTTPS 也允许客户端应用程序确认 Web 服务器的标识。使用 HTTPS 时,启用 HTTPS 的每个 Web 服务器必须向客户端发送证书。证书包含标识语句 (gis.mycity.gov) 以及客户端用于将加密信息发送至 Web 服务器的公钥。
Portal for ArcGIS 通常会传输需要进行加密的信息;因此,HTTPS 在门户中始终处于启用状态。强烈建议由公司(内部)或商业证书颁发机构 (CA) 对所使用的证书进行签名。门户自身带有自签名证书。自签名证书表示客户端不能验证服务器的标识。使用 CA 签名证书替换自签名证书可显著提高部署的安全性。
在门户中使用 CA 签名证书有两种方法:
- 生成新的 CA 签名证书 - 生成证书签名请求 (CSR),由 CA 进行签名,然后将其导入门户。
- 使用现有的 CA 签名证书 - 如果已向门户计算机分配了现有的 CA 签名证书,则将其导入到门户。
有关这些流程的完整说明,请参阅以下各部分中的步骤。
生成新的 CA 签名证书
可使用由公司(内部)或商业 CA 签名的新证书来启用 HTTPS。步骤如下:
生成新证书
- 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptor.domain.com/arcgis/portaladmin。
- 单击安全性 > SSLCertificates > 生成。
- 在生成证书页面中,输入以下信息:
- 别名 - 用于确定证书名称的唯一名称(例如 portalcert)。
- 密钥算法 - RSA(默认)或 DSA。
- 密钥大小 - 指定生成的用于创建证书的密钥的大小(单位为位)。密钥越大,就越难解密;但是,解密数据的时间也会随着密钥的增大而增加。对于 RSA,推荐的密钥大小为 2,048 或更大。对于 DSA,密钥大小位于 512 和 1,024 之间。
- 签名算法 - 使用默认 (SHA1withRSA)。如果组织有特定的安全性限制,则可以针对 DSA 使用以下算法之一:SHA256withRSA、SHA384withRSA、SHA512withRSA 和 SHA1withDSA。
- 公用名 - 门户计算机的完全限定的域名。
- 组织单位 - 对您站点的用户有意义的部门名称(例如 GIS Department)。
- 组织 - 组织名称(例如 Esri)。
- 城市或所在地 - 城市或所在地的名称(例如 Redlands)。
- 州或省 - 州或省的名称(例如 California)。
- 国家代码 - 您的组织所在的国家的代码,此代码由两个字母组成(例如 US)。
- 有效期 - 证书有效的天数(例如 365)。
- 主题备选名称 - 用于为证书中指定的常用名称 (CN) 定义备选名称的可选参数。如果未定义 SAN,则只能
使用 URL 中的常用名称访问网站(无证书错误)。通过 SAN,证书允许使用不同的 URL 访问同一网站。例如,如果使用以下参数值创建证书,则可利用 URL https://www.esri.com、https://esri 和 https://10.60.1.16 访问同一站点:
CN=www.esri.com
SAN=DNS:esri, IP:10.60.1.16
- 单击生成。证书链接将显示在证书页面上。
请求 CA 为证书签名
为使 web 浏览器信任您的证书,必须由 CA(例如您的组织、Verisign 或 Thawte)对其进行验证和会签。
- 在证书页面上单击证书名称。
- 单击 GenerateCSR。在生成 CSR 页面上,将 CSR 内容复制粘贴到文件中。以 .csr 扩展名保存该文件(例如 portalcert.csr)。
- 将 CSR 提交至 CA。建议您获得可分辨编码规则 (DER) 或 Base64 编码的证书。如果 CA 要求提供证书所针对的 Web 服务器类型,请指定其他\未知或 Java 应用程序服务器。验证您的身份后,CA 将为您发送扩展名为 .crt 或 .cer 的文件。
- 将从 CA 接收的签名证书保存到门户计算机的某个位置。除了签名证书以外,CA 还会颁发根证书。将 CA 根证书保存到门户计算机上。
- 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptor.domain.com/arcgis/portaladmin。
- 单击安全性 > SSLCertificates > 导入根证书或中间证书。
- 浏览至 CA 提供的根证书的位置。单击导入。如果 CA 颁发了其他中间证书,则将这些证书一起导入。不要导入签名证书。
- 单击安全性 > SSLCertificates。
- 单击在前一部分中生成的证书的名称(例如 portalcert)。
- 单击导入已签名证书并浏览到用于保存从 CA 接收的签名证书的位置。
- 单击导入。在之前部分中创建的证书将由 CA 签名证书替换。
配置 Portal for ArcGIS 以使用 CA 签名证书
- 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptor.domain.com/arcgis/portaladmin。
- 单击安全性 > SSLCertificates > 更新。
- 在 Web 服务器 SSL 证书字段中,输入 CA 签名证书的别名。所指定的别名应与之前部分中 CA 签名证书所替换掉的证书的别名相匹配。
- 单击更新。
CA 签名证书现将用于 HTTPS。
将 CA 根证书导入到 Windows 证书存储中
如果门户计算机的 Windows 证书存储中不存在 CA 根证书,则必须将其导入。
- 登录托管 Portal for ArcGIS 的计算机。
- 将 CA 签名证书复制到本计算机中的一个位置。
- 打开此证书,然后单击证书路径选项卡。如果证书状态为证书正常,则 CA 根证书将出现在 Windows 证书存储中,并不再需要导入。请跳至步骤 8。
- 打开证书管理器(可通过搜索 certmgr.msc 将其打开)。
- 在证书管理器窗口中,单击受信任的根证书颁发机构 > 证书。
- 在顶部菜单中单击操作 > 所有任务 > 导入。
- 在证书导入向导对话框中,单击下一步,然后按照向导中的说明导入 CA 根证书。
- 重新启动托管 Portal for ArcGIS 的计算机。
验证您是否可以使用 HTTPS 访问门户
测试以下 URL 以验证是否可使用 HTTPS 访问门户:https://portalhost.domain.com:7443/arcgis/home。
使用现有的 CA 签名证书
如果已具有由公司(内部)或商业 CA 颁发的证书,则可使用此证书来启用 HTTPS。
导入根 CA 证书
- 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptor.domain.com/arcgis/portaladmin。
- 单击安全性 > SSLCertificates > 导入根证书或中间证书。
- 浏览至 CA 提供的根证书的位置。单击导入。如果 CA 颁发了其他中间证书,则将这些证书一起导入。不要导入 CA 签名证书。
- 重新启动 Portal for ArcGIS 服务。
导入现有的 CA 签名证书
警告:
为将证书导入您的门户,必须以 PKCS#12 格式存储此证书及其关联私钥(表示为具有 .p12 或 .pfx 扩展名的文件)。
- 单击安全性 > SSLCertificates > 导入现有的服务器证书。
- 在导入现有的服务器证书页面上,指定以下信息:
- 证书口令 - 输入口令以解锁包含证书的文件。
- 别名 - 输入可轻松确定证书的唯一名称(例如 rootcert)。
- 浏览至现有 CA 签名证书的位置。单击导入。
配置 Portal for ArcGIS 以使用 CA 签名证书
- 单击安全性 > SSLCertificates > 更新。
- 在 Web 服务器 SSL 证书字段中,输入现有 CA 签名证书的别名。
- 单击更新。
现有 CA 签名证书现将用于 HTTPS。
将 CA 根证书导入到 Windows 证书存储中
如果门户计算机的 Windows 证书存储中不存在 CA 根证书,则必须将其导入。
- 登录托管 Portal for ArcGIS 的计算机。
- 将 CA 签名证书复制到本计算机中的一个位置。
- 打开此证书,然后单击证书路径选项卡。如果证书状态为证书正常,则 CA 根证书将出现在 Windows 证书存储中,并不再需要导入。请跳至步骤 8。
- 打开证书管理器(可通过搜索 certmgr.msc 将其打开)。
- 在证书管理器窗口中,单击受信任的根证书颁发机构 > 证书。
- 在顶部菜单中单击操作 > 所有任务 > 导入。
- 在证书导入向导对话框中,单击下一步,然后按照向导中的说明导入 CA 根证书。
- 重新启动托管 Portal for ArcGIS 的计算机。
验证您是否可以使用 HTTPS 访问门户
测试以下 URL 以验证是否可使用 HTTPS 访问门户:https://portalhost.domain.com:7443/arcgis/home。