使用自签名证书启用 SSL
在本主题中
本主题介绍了如何使用自签名证书为 ArcGIS Server 启用 SSL。使用自签名证书启用 SSL 的步骤如下:
新建自签名证书
- 登录到 ArcGIS Server 管理员目录 http://gisserver.domain.com:6080/arcgis/admin。
- 浏览至计算机 > [计算机名称] > sslcertificates。
- 单击生成。
- 在此页面中提供参数值:
选项 说明 别名
用于轻松识别证书的唯一名称。
密钥算法
使用 RSA(默认)或 DSA。
密钥大小
指定生成的用于创建证书的密钥的大小(单位为位)。密钥越大,就越难解密;但是,解密数据的时间也会随着密钥的增大而增加。对于 DSA,密钥大小可处于 512 和 1,024 之间。对于 RSA,建议的密钥大小为 2,048 或更大。
签名算法
使用默认值 (SHA1withRSA)。如果组织有特定的安全性限制,则可以针对 DSA 使用以下算法之一:SHA256withRSA、SHA384withRSA、SHA512withRSA 和 SHA1withDSA。
公用名
将服务器名称的域名作为公用名。
如果可通过 URL https://www.gisserver.com:6443/arcgis/ 访问 Internet 上的服务器,则请将 www.gisserver.com 作为常用名称。
如果只能在局域网 (LAN) 上通过 URL https://gisserver.domain.com:6443/arcgis 访问服务器,请将 gisserver 作为常用名称。
组织单位
组织单位的名称,例如 GIS 部门。
组织
组织的名称,例如 Esri。
城市或所在地
城市或所在地的名称,例如雷德兰兹。
州或省
州或省的全称,例如加利福尼亚。
国家代码
国家代码的缩写,例如 US。
有效期
此证书有效的总天数,例如 365 天。
主题备选名称
主题备选名称 (SAN) 是一个可选参数,用于为 SSL 证书中指定的常用名称 (CN) 定义备选名称。SAN 参数值中不能有任何空格。
如果未定义 SAN,则只能使用 URL 中的常用名称访问网站(无 SSL 证书错误)。如果定义了 SAN 并且存在 DNS 名称,则只能通过 SAN 中列出的内容访问网站。可以根据需要指定多个 DNS 名称。例如,如果使用以下 SAN 参数值创建 SSL 证书,则利用 URL https://www.esri.com、https://esri 和 https://10.60.1.16 可访问同一站点:
DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- 单击生成以生成证书。
配置 ArcGIS Server 以使用 SSL 证书
要指定 ArcGIS Server 应使用的 SSL 证书,请完成以下步骤:
- 登录到 ArcGIS Server 管理员目录 http://gisserver.domain.com:6080/arcgis/admin。
- 浏览至计算机 > [计算机名称]。
- 单击编辑。
- 在 Web 服务器 SSL 证书字段中输入要使用的 SSL 证书的名称。
- 单击保存编辑内容以应用更改。
- 在当前页面上,查看属性 Web 服务器 SSL 证书以验证所需 SSL 证书将用于 SSL。
配置部署中的每台 GIS 服务器
如果 ArcGIS Server 采用多机部署,则必须为参与站点的每台 GIS 服务器新建自签名证书,并配置该 GIS 服务器使用该证书。
为站点启用 SSL
- 登录到 ArcGIS Server 管理员目录 http://gisserver.domain.com:6080/arcgis/admin。
- 浏览至安全性 > 配置 > 更新。
- 针对协议参数,选择 HTTP 和 HTTPS 选项并单击更新。这将自动重新启动 ArcGIS Server 站点。
- 站点重新启动后,请验证是否可访问 URL https://gisserver.domain.com:6443/arcgis/admin。如果此 URL 没有响应,ArcGIS Server 将无法使用指定的 SSL 证书。检查 SSL 证书并配置 ArcGIS Server 使用新的或其他 SSL 证书。
- 如果可访问 URL https://gisserver.domain.com:6443/arcgis/admin,请浏览至安全性 > 配置 > 更新。
- 针对协议参数,选择仅 HTTPS 选项并单击更新。
注:
ArcGIS Web Adaptor 需要一分钟的时间来识别站点通信协议的更改。
旧版本:
在 10.2.1 和早期版本中,需要在更新 ArcGIS Server 的通信协议后重新配置 ArcGIS Web Adaptor。在 10.2.2 和更高版本中不再需要进行此操作。
使用 SSL 访问站点
配置完 SSL 后,ArcGIS Server 将监听 6443 端口是否具有 HTTPS 请求。使用以下 URL 安全访问 ArcGIS Server:
ArcGIS Server Manager | https://gisserver.domain.com:6443/arcgis/manager |
ArcGIS Server 服务目录 | https://gisserver.domain.com:6443/arcgis/rest/services |
注:
如果在启用 SSL 时重命名 ArcGIS Server,则可以使用 SSL 继续访问 ArcGIS Server;但是,必须生成一个新的 SSL 证书并配置 ArcGIS Server 使用该证书。
将证书导入到 OS 证书存储中
为了使 PrintingTools 服务等 ArcGIS 服务可与已启用 SSL 的 ArcGIS Server 一同使用,必须安装服务器的 SSL 证书作为受信任的证书:
- 登录到 ArcGIS Server 管理员目录。
- 浏览至计算机>[计算机名称]>sslcertificates。
- 单击 ArcGIS Server 正在使用的 SSL 证书并单击导出。将文件保存到计算机上存储 CA 根证书的位置。
- 在托管 ArcGIS Server 的计算机上,通过浏览至 <ArcGIS Server installation directory>/arcgis/server/usr 目录打开文本编辑器中的 init_user_param.sh 脚本。
- 找到行 export CA_ROOT_CERTIFICATE_DIR=<Location_to_CA_Root_Certificate> ,然后指定在系统中存储所有 CA 根证书的位置。请注意,指定的目录需要能够供安装 ArcGIS Server 的账户访问。您需要通过移除井号 (#) 字符取消行的注释。
- 保存并关闭 init_user_param.sh 脚本。
- 然后重新启动 ArcGIS Server。可通过在您站点中的每台 GIS 服务器上运行 startserver.sh 脚本来执行此操作。
- 对站点中的每台 GIS 服务器重复以上步骤。