某些情况下,您可能需要使用 HTTPS 与 ArcGIS Server 站点进行加密通信。这需要负载均衡器和 ArcGIS 站点使用 SSL 证书。负载均衡器必须使用从受信任的证书颁发机构 (CA) 获取的 SSL 证书。ArcGIS Server Cloud Builder on Amazon Web Services 可以在您创建站点的同时将 SSL 证书安装至负载均衡器。此外,默认情况下,它使用开箱即用、自签名的证书启用 ArcGIS Server 实例中的 SSL。您可能继续将此证书用于 ArcGIS Server 或使用新 CA 颁布的证书替代它。
在 Cloud Builder 的安全性面板上,可找到用于在您的站点上上传和安装 SSL 证书的选项。
上传负载均衡器的新证书
作为其身份和访问管理 (IAM) 服务的一部分,Amazon Web Services (AWS) 允许您在云中上传和存储 SSL 证书。您无需了解如何直接使用此服务,因为云构建器提供了一个前端界面。通过 Cloud Builder,您可以将一个或多个 SSL 证书上传到 AWS IAM;然后在构建站点时可选择应用其中的任何一个证书。将自动为您安装相应证书。
您可以上传现有 SSL 证书或创建新的 SSL 证书。您必须确保您的 SSL 证书满足更新负载平衡器的 SSL 证书主题中更新 HTTPS 负载平衡器的 SSL 证书部分提及的条件。生成负载均衡器的 SSL 证书时,您还必须确保使用的常用名称与负载均衡器的公共 DNS(主机名)相匹配。要生成新 SSL 证书的私钥和公钥,您将需要使用 SSL 管理工具或软件产品(例如 OpenSSL)。
注:
使用 ArcGIS Server 管理员目录创建的 SSL 证书在内部只读 keystore 中进行管理,并且不能导出来与 Amazon 负载均衡器一起使用。
要上传新的 SSL 证书并将其安装在负载均衡器上,请执行以下操作:
- 将对应于 SSL 证书的私钥和公钥复制到运行 Cloud Builder 的计算机上的文件夹中。
- 使用 Cloud Builder 开始创建或更新站点。
- 在 Cloud Builder 的安全性面板中,选中安装 SSL 证书。
- 从选择 SSL 证书下拉列表中,选择 <上传证书>。
- 通过为 SSL 证书输入唯一名称来提供证书名称。不要在此值中包含路径。
- 提供与您想要上传的 SSL 证书相对应的私钥位置。私钥必须是 PEM 编码格式的 RSA 密钥。
- 提供与您想要上传的 SSL 证书相对应的公钥证书位置。公钥必须是 PEM 编码格式。
- 单击上传。
- 在选择 SSL 证书下拉列表中,确保您已选择了新的证书。
使用负载均衡器的现有证书
如果已使用云构建器上传了证书,则可执行以下操作将其安装在站点上:
- 使用 Cloud Builder 开始创建或更新站点。
- 在 Cloud Builder 的安全性面板中,选中安装 SSL 证书。
- 从选择 SSL 证书下拉列表中,选择证书名称。
在仅使用 HTTPS 的情景中配置负载均衡器健康检查
如果选择 SSL 证书,云构建器将配置站点,使其既能接收 HTTP 请求,也能接收 HTTPS 请求。如果以后修改 ArcGIS Server,使其只允许接收 HTTPS 请求,则必须通过执行以下步骤更新负载均衡器:
- 登录 AWS 管理控制台并显示站点所在的 EC2 区域的页面。
- 单击负载均衡器。
- 选中名为 arcgis-<您的站点> 的负载均衡器旁的复选框。
- 在下方的面板中,单击健康检查选项卡。
- 单击编辑健康检查。
- 将 Ping 协议更改为 HTTPS。
- 将 Ping 端口更改为 6443,然后单击保存。