HTTPS 是加密通信往返 Web 服务器的方法。HTTPS 也允许客户端应用程序确认 Web 服务器的标识。使用 HTTPS 时,启用 HTTPS 的每个 Web 服务器必须向客户端发送证书。证书包含标识语句 (gis.mycity.gov) 以及客户端用于将加密信息发送至 Web 服务器的公钥。
Portal for ArcGIS 通常会传输需要进行加密的信息;因此,HTTPS 在门户中始终处于启用状态。强烈建议由公司(内部)或商业证书颁发机构 (CA) 对所使用的证书进行签名。门户自身带有自签名证书。自签名证书表示客户端不能验证服务器的标识。使用 CA 签名证书替换自签名证书可显著提高部署的安全性。
在门户中使用 CA 签名证书有两种方法:
- 生成新的 CA 签名证书 - 生成证书签名请求 (CSR),由 CA 进行签名,然后将其导入门户。
- 使用现有的 CA 签名证书 - 如果已向门户计算机分配了现有的 CA 签名证书,则将其导入到门户。
注:
该工作流仅适用于通过端口 7443 与 Portal for ArcGIS 通信的 HTTPS 通信中。要生成或导入用于 web adaptor 的 CA 签名证书,请查询安装该 web adaptor 的 web 服务器的文档。
有关这些流程的完整说明,请参阅以下各部分中的步骤。
生成新的 CA 签名证书
可使用由公司(内部)或商业 CA 签名的新证书来启用 HTTPS。步骤如下:
生成新证书
- 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptorhost.domain.com/webadaptorname/portaladmin。
- 单击安全性 > SSLCertificates > 生成。
注:
如果门户具有高可用性,则应导航至计算机 > [计算机] > SSLCertificates > 生成,然后针对每台门户计算机重复以下步骤: - 在生成证书页面中,输入以下信息:
- 别名 - 用于确定证书名称的唯一名称(例如 portalcert)。
- 密钥算法 - RSA(默认)或 DSA。
- 密钥大小 - 指定生成的用于创建证书的密钥的大小(单位为位)。密钥越大,就越难解密;但是,解密数据的时间也会随着密钥的增大而增加。对于 RSA,推荐的密钥大小为 2,048 或更大。对于 DSA,密钥大小位于 512 和 1,024 之间。
- 签名算法 - 使用默认 (SHA256withRSA)。如果组织有特定的安全性限制,则可以针对 DSA 使用以下算法之一:SHA384withRSA、SHA512withRSA、SHA1withRSA 和 SHA1withDSA。
- 常用名称 - 该字段为可选字段,用于向后兼容旧版的 web 浏览器和软件。建议将门户计算机的完全限制域名用作常用名称。
- 组织单位 - 对您站点的用户有意义的部门名称(例如 GIS Department)。
- 组织 - 组织名称(例如 Esri)。
- 城市或所在地 - 城市或所在地的名称(例如 Redlands)。
- 州或省 - 州或省的名称(例如 California)。
- 国家代码 - 您的组织所在的国家的代码,此代码由两个字母组成(例如 US)。
- 有效期 - 证书有效的天数(例如 365)。
- 主题备选名称 - 主题备选名称 (SAN) 用于验证所访问网站所提供的 SSL 证书是否针对该网站颁发。
如果此参数留空,则将本地计算机的完全限制域名用作默认值。SAN 字段支持多值;但是,该字段必须包含网站的完全限制域名。SAN 参数值不能包含空格。
通过 SAN,证书将允许使用不同的 URL 访问同一网站。例如,如果使用以下参数值创建证书,则可利用 URL https://www.esri.com、https://esri 和 https://10.60.1.16 访问同一站点:
CN=www.esri.com
SAN=DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- 单击生成。证书链接将显示在证书页面上。
请求 CA 为证书签名
为使 web 浏览器信任您的证书,必须由 CA(例如您的组织、Verisign 或 Thawte)对其进行验证和会签。
- 在证书页面上单击证书名称。
- 单击 GenerateCSR。在生成 CSR 页面上,将 CSR 内容复制粘贴到文件中。以 .csr 扩展名保存该文件(例如 portalcert.csr)。
- 将 CSR 提交至 CA。建议您获得可分辨编码规则 (DER) 或 Base64 编码的证书。如果 CA 要求提供证书所针对的 Web 服务器类型,请指定其他\未知或 Java 应用程序服务器。验证您的身份后,CA 将为您发送扩展名为 .crt 或 .cer 的文件。
- 将从 CA 接收的签名证书保存到门户计算机的某个位置。除了签名证书以外,CA 还会颁发根证书。将 CA 根证书保存到门户计算机上。
- 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptorhost.domain.com/webadaptorname/portaladmin。
- 单击安全性 > SSLCertificates > 导入根证书或中间证书。
注:
如果门户具有高可用性,则应导航至计算机 > [计算机] > SSLCertificates > 导入根证书或中间证书,然后针对每台门户计算机重复执行以下步骤: - 浏览至 CA 提供的根证书的位置。单击导入。如果 CA 颁发了其他中间证书,则将这些证书一起导入。每次导入证书后,Portal for ArcGIS 都将自动重启。不要导入签名证书。
- 返回 SSLCertificates 页面。
- 单击在前一部分中生成的证书的名称(例如 portalcert)。
- 单击导入已签名证书并浏览到用于保存从 CA 接收的签名证书的位置。
- 单击导入。在之前部分中创建的证书将由 CA 签名证书替换。
配置 Portal for ArcGIS 以使用 CA 签名证书
- 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptorhost.domain.com/webadaptorname/portaladmin。
- 单击安全性 > SSLCertificates > 更新。
注:
如果门户具有高可用性,则应导航至计算机 > [计算机] > SSLCertificates > 更新,然后针对每台门户计算机重复以下步骤: - 在 Web 服务器 SSL 证书字段中,输入 CA 签名证书的别名。所指定的别名应与之前部分中 CA 签名证书所替换掉的证书的别名相匹配。
- 单击更新。
CA 签名证书现将用于 HTTPS。
验证您是否可以使用 HTTPS 访问门户
测试以下 URL 以验证是否可使用 HTTPS 访问门户:https://portalhost.domain.com:7443/arcgis/home。
使用现有的 CA 签名证书
如果已具有由公司(内部)或商业 CA 颁发的证书,则可使用此证书来启用 HTTPS。
导入根 CA 证书
- 以组织管理员的身份登录到 ArcGIS Portal Directory。URL 格式为 https://webadaptorhost.domain.com/webadaptorname/portaladmin。
- 单击安全性 > SSLCertificates > 导入根证书或中间证书。
注:
如果门户具有高可用性,则应导航至计算机 > [计算机] > SSLCertificates > 导入根证书或中间证书,然后针对每台门户计算机重复执行以下步骤: - 浏览至 CA 提供的根证书的位置。单击导入。如果 CA 颁发了其他中间证书,则将这些证书一起导入。不要导入 CA 签名证书。
- 重新启动 Portal for ArcGIS 服务。
导入现有的 CA 签名证书
警告:
为将证书导入您的门户,必须以 PKCS#12 格式存储此证书及其关联私钥(表示为具有 .p12 或 .pfx 扩展名的文件)。
- 单击安全性 > SSLCertificates > 导入现有的服务器证书。
注:
如果门户具有高可用性,则应导航至计算机 > [计算机] > SSLCertificates > 导入现有服务器证书,然后针对每台门户计算机重复以下步骤: - 在导入现有的服务器证书页面上,指定以下信息:
- 证书口令 - 输入口令以解锁包含证书的文件。
- 别名 - 输入可轻松确定证书的唯一名称(例如 rootcert)。
- 浏览至现有 CA 签名证书的位置。单击导入。
配置 Portal for ArcGIS 以使用 CA 签名证书
- 单击安全性 > SSLCertificates > 更新。
注:
如果门户具有高可用性,则应导航至计算机 > [计算机] > SSLCertificates > 更新,然后针对每台门户计算机重复以下步骤: - 在 Web 服务器 SSL 证书字段中,输入现有 CA 签名证书的别名。
- 单击更新。
现有 CA 签名证书现将用于 HTTPS。
验证您是否可以使用 HTTPS 访问门户
测试以下 URL 以验证是否可使用 HTTPS 访问门户:https://portalhost.domain.com:7443/arcgis/home。