Skip To Content

将证书导入到门户

HTTPS 是加密通信往返 Web 服务器的方法。HTTPS 也允许客户端应用程序确认 Web 服务器的标识。使用 HTTPS 时,启用 HTTPS 的每个 Web 服务器必须向客户端发送证书。证书包含标识语句 (gis.mycity.gov) 以及客户端用于将加密信息发送至 Web 服务器的公钥。

Portal for ArcGIS 通常会传输需要进行加密的信息;因此,HTTPS 在门户中始终处于启用状态。强烈建议由公司(内部)或商业证书颁发机构 (CA) 对所使用的证书进行签名。门户自身带有自签名证书。自签名证书表示客户端不能验证服务器的标识。使用 CA 签名证书替换自签名证书可显著提高部署的安全性。

在门户中使用 CA 签名证书有两种方法:

注:

该工作流仅适用于通过端口 7443 与 Portal for ArcGIS 通信的 HTTPS 通信中。要生成或导入用于 web adaptor 的 CA 签名证书,请查询安装该 web adaptor 的 web 服务器的文档。

有关这些流程的完整说明,请参阅以下各部分中的步骤。

生成新的 CA 签名证书

可使用由公司(内部)或商业 CA 签名的新证书来启用 HTTPS。步骤如下:

生成新证书

  1. 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptorhost.domain.com/webadaptorname/portaladmin
  2. 单击安全性 > SSLCertificates > 生成
  3. 生成证书页面中,输入以下信息:
    • 别名 - 用于确定证书名称的唯一名称(例如 portalcert)。
    • 密钥算法 - RSA(默认)或 DSA。
    • 密钥大小 - 指定生成的用于创建证书的密钥的大小(单位为位)。密钥越大,就越难解密;但是,解密数据的时间也会随着密钥的增大而增加。对于 RSA,推荐的密钥大小为 2,048 或更大。对于 DSA,密钥大小位于 512 和 1,024 之间。
    • 签名算法 - 使用默认 (SHA256withRSA)。如果组织有特定的安全性限制,则可以针对 DSA 使用以下算法之一:SHA384withRSASHA512withRSASHA1withRSASHA1withDSA
    • 常用名称 - 该字段为可选字段,用于向后兼容旧版的 web 浏览器和软件。建议将门户计算机的完全限制域名用作常用名称。
    • 组织单位 - 对您站点的用户有意义的部门名称(例如 GIS Department)。
    • 组织 - 组织名称(例如 Esri)。
    • 城市或所在地 - 城市或所在地的名称(例如 Redlands)。
    • 州或省 - 州或省的名称(例如 California)。
    • 国家代码 - 您的组织所在的国家的代码,此代码由两个字母组成(例如 US)。
    • 有效期 - 证书有效的天数(例如 365)。
    • 主题备选名称 - 主题备选名称 (SAN) 用于验证所访问网站所提供的 SSL 证书是否针对该网站颁发。

      如果未确定 SAN,一些 web 浏览器则可能试图使用常用名称 (CN) 参数来验证 SSL 证书,且一些 web 浏览器则可能显示网站提供的 SSL 证书无法验证的错误。SAN 字段支持多个值。但是,该字段必须包含网站的完全限制域名。SAN 参数值不能包含空格。

      通过 SAN,证书允许使用不同的 URL 访问同一网站。

      例如,如果使用以下参数值创建证书,则可利用 URL https://www.esri.comhttps://esrihttps://10.60.1.16 访问同一站点:

      CN=www.esri.com

      SAN=DNS:www.esri.com,DNS:esri,IP:10.60.1.16

  4. 单击生成。证书链接将显示在证书页面上。

请求 CA 为证书签名

为使 web 浏览器信任您的证书,必须由 CA(例如您的组织、Verisign 或 Thawte)对其进行验证和会签。

  1. 在证书页面上单击证书名称。
  2. 单击 GenerateCSR。在生成 CSR 页面上,将 CSR 内容复制粘贴到文件中。以 .csr 扩展名保存该文件(例如 portalcert.csr)。
  3. 将 CSR 提交至 CA。建议您获得可分辨编码规则 (DER) 或 Base64 编码的证书。如果 CA 要求提供证书所针对的 Web 服务器类型,请指定其他\未知Java 应用程序服务器。验证您的身份后,CA 将为您发送扩展名为 .crt.cer 的文件。
  4. 将从 CA 接收的签名证书保存到门户计算机的某个位置。除了签名证书以外,CA 还会颁发根证书。将 CA 根证书保存到门户计算机上。
  5. 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptorhost.domain.com/webadaptorname/portaladmin
  6. 单击安全性 > SSLCertificates > 导入根证书或中间证书
  7. 浏览至 CA 提供的根证书的位置。单击导入。如果 CA 颁发了其他中间证书,则将这些证书一起导入。每次导入证书后,Portal for ArcGIS 都将自动重启。不要导入签名证书。
  8. 单击安全性 > SSLCertificates
  9. 单击在前一部分中生成的证书的名称(例如 portalcert)。
  10. 单击导入已签名证书并浏览到用于保存从 CA 接收的签名证书的位置。
  11. 单击导入。在之前部分中创建的证书将由 CA 签名证书替换。
  12. Portal for ArcGIS 自动重启。重启完成后,即可使用您指定的证书配置门户。

配置 Portal for ArcGIS 以使用 CA 签名证书

  1. 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptorhost.domain.com/webadaptorname/portaladmin
  2. 单击安全性 > SSLCertificates > 更新
  3. Web 服务器 SSL 证书字段中,输入 CA 签名证书的别名。所指定的别名应与之前部分中 CA 签名证书所替换掉的证书的别名相匹配。
  4. 单击更新

CA 签名证书现将用于 HTTPS。

验证您是否可以使用 HTTPS 访问门户

测试以下 URL 以验证是否可使用 HTTPS 访问门户:https://portalhost.domain.com:7443/arcgis/home

使用现有的 CA 签名证书

如果已具有由公司(内部)或商业 CA 颁发的证书,则可使用此证书来启用 HTTPS。

导入根 CA 证书

  1. 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptorhost.domain.com/webadaptorname/portaladmin
  2. 单击安全性 > SSLCertificates > 导入根证书或中间证书
  3. 浏览至 CA 提供的根证书的位置。单击导入。如果 CA 颁发了其他中间证书,则将这些证书一起导入。不要导入 CA 签名证书。
  4. 重新启动 Portal for ArcGIS 服务。

导入现有的 CA 签名证书

警告:

为将证书导入您的门户,必须以 PKCS#12 格式存储此证书及其关联私钥(表示为具有 .p12 或 .pfx 扩展名的文件)。

  1. 单击安全性 > SSLCertificates > 导入现有的服务器证书
  2. 导入现有的服务器证书页面上,指定以下信息:
    • 证书口令 - 输入口令以解锁包含证书的文件。
    • 别名 - 输入可轻松确定证书的唯一名称(例如 rootcert)。
  3. 浏览至现有 CA 签名证书的位置。单击导入

配置 Portal for ArcGIS 以使用 CA 签名证书

  1. 单击安全性 > SSLCertificates > 更新
  2. Web 服务器 SSL 证书字段中,输入现有 CA 签名证书的别名。
  3. 单击更新

现有 CA 签名证书现将用于 HTTPS。

验证您是否可以使用 HTTPS 访问门户

测试以下 URL 以验证是否可使用 HTTPS 访问门户:https://portalhost.domain.com:7443/arcgis/home