Skip To Content

替换 ArcGIS Data Store SSL 证书

自签名 SSL 证书可用于以下 ArcGIS Data Store 交互:

  • Data Store 配置向导通过 Web 服务器访问 ArcGIS Data Store 文件
  • 托管服务器和 ArcGIS Data Store 计算机之间通过 Web 服务器进行的通信
  • 在关系数据存储、切片缓存数据存储、对象存储或图谱存储中,各个计算机的端口之间及计算机内部各端口之间的通信。
  • 托管服务器和任意 ArcGIS Data Store 计算机之间通过端口进行的通信

如果您的组织要求使用证书颁发机构 (CA) 验证和签名的 SSL 证书或针对域生成的证书来保护交互,则可以使用 replacesslcertificate 实用程序将自签名证书替换为 CA 签名证书或域证书。

证书文件必须是 PKCS12 格式,文件扩展名为 .pfx.p12,且必须将其导入到每台装有 ArcGIS Data Store 的计算机上。

请按照以下步骤在 ArcGIS Data Store 计算机上更新 SSL 证书:

  1. 从证书颁发机构获取 SSL 证书或生成域证书。
  2. 创建 PKCS12 格式文件并为文件设置密码和别名。
  3. 运行 replacesslcertificate 实用程序为 ArcGIS Data Store 计算机替换自签名 SSL 证书。
    • 要替换用于 Web 服务器通信的证书,请使用 webserver 选项运行 replacesslcertificate 实用程序。
    • 要替换端口间通信和数据存储计算机之间的通信使用的证书,请使用适当的数据存储选项运行 replacesslcertificate 实用程序。

    在此示例中,证书文件 (casignedcert.pfx) 位于 cacerts 目录,别名为 myfilealias,安全密码为 Sec00rit,该文件将用于替换 Web 服务器通信使用的证书。

    ./replacesslcertificate.sh /usr/cacerts/casignedcert.pfx "Sec00rit" myfilealias --option webserver

    在以下示例中,证书文件 (casignedcert2.pfx) 位于 certs 目录,别名为 reldscert,安全密码为 S00per$ecret,该文件用于替换主要和备用关系数据存储计算机之间的通信使用的证书;该证书还用于与关系数据存储计算机之间通过端口 2443、9876、44369、45671、45672 和 50432 进行的通信以及通过端口 25672 和 44369 进行的用于 webhook 的通信。

    ./replacesslcertificate.sh /usr/cacerts/casignedcert2.pfx "S00per$ecret" reldscert --option relational

  4. 如果您有多台 ArcGIS Data Store 计算机,则请更新每台计算机的证书。

验证用于通信的 CA 证书

要验证 Web 服务器的证书是否已正确更新,请打开浏览器,输入 Data Store 配置向导的 URL。 URL 格式为 https://<fully qualified data store machine name>:2443/arcgis/datastore。 如果向导打开后并未返回安全警告,则用于 Web 服务器通信的 SSL 证书已更新成功。

您可以下载并运行 OpenSSL 命令以验证用于端口通信的证书路径是否不再包含自签名证书。