本主题介绍了如何使用由证书颁发机构 (CA) 签名的证书为 ArcGIS Server 配置 HTTPS。使用 CA 签名证书配置 HTTPS 的步骤如下:
新建自签名证书
- 登录到 ArcGIS Server 管理员目录 https://gisserver.domain.com:6443/arcgis/admin。
- 浏览至计算机 > [计算机名称] > sslcertificates。
- 单击生成。
- 在此页面中提供参数值:
选项 说明 别名
用于轻松识别证书的唯一名称。
密钥算法
使用 RSA (默认) 或 DSA。
密钥大小
指定生成的用于创建证书的密钥大小 (单位为位)。密钥越大,就越难解密;但是,解密数据的时间也会随着密钥的增大而增加。对于 DSA,密钥大小位于 512 和 1,024 之间。对于 RSA,推荐的密钥大小为 2,048 或更大。
签名算法
使用默认值 (SHA256withRSA)。如果组织有特定的安全性限制,则可以针对 DSA 使用以下算法之一: SHA384withRSA、SHA512withRSA、SHA1withRSA、SHA1withDSA。
常用名称
该字段为可选字段,用于向后兼容旧版的 web 浏览器和软件。建议将服务器名称的完全限制域名用作常用名称。
如果要通过 URL https://www.gisserver.com:6443/arcgis/ 在 Internet 上访问服务器,则将 www.gisserver.com 作为常用名称。
如果只能在局域网 (LAN) 上通过 URL https://gisserver.domain.com:6443/arcgis 访问服务器,则请将 gisserver.domain.com 作为常用名称。
组织单位
组织单位的名称,例如 GIS 部门。
组织
组织的名称,例如 Esri。
城市或所在地
城市或所在地的名称,例如雷德兰兹。
州或省
州或省的全称,例如加利福尼亚。
国家代码
国家代码的缩写,例如 US。
有效期
此证书有效的总天数,例如 365 天。
主题备选名称
主题备选名称 (SAN) 用于验证所访问网站所提供的 SSL 证书是否针对该网站颁发。
如果未确定 SAN,一些 web 浏览器则可能试图使用常用名称 (CN) 参数来验证 SSL 证书,且一些 web 浏览器则可能显示网站提供的 SSL 证书无法验证的错误。SAN 字段支持多个值。但是,该字段必须包含网站的完全限制域名。SAN 参数值不能包含空格。
例如,如果服务器主要通过 URL https://www.esri.com 进行访问,则 SAN 参数应设置为 DNS:www.esri.com。如果将在公共网络中使用 URL https://www.esri.com 并在组织的 LAN(局域网)中使用 URL https://gisserver.esri.com 访问服务器,则 SAN 参数应设置为 DNS:www.esri.com,DNS:gisserver.esri.com。
虽然支持在 SAN 参数中使用通配符 (*.esri.com),但不建议使用。如果同一证书用于多个 web 站点或子域,请在 SAN 参数中列出各个网站或子域,如以下示例所示:
示例:DNS:www.esri.com,DNS:esri.com,DNS:www.esri.ch,DNS:www.esri.rw,DNS:www.esri.de,DNS:maps.esri.com,DNS:support.esri.com,DNS:pro.arcgis.com。
- 单击生成以生成证书。
请求 CA 为证书签名
为使 Web 浏览器将证书视为受信任证书,必须由 Verisign 或 Thawte 等知名证书颁发机构对证书进行验证和会签。
- 打开在上一部分中创建的自签名证书,然后单击 generateCSR。将内容复制到扩展名通常为 .csr 的文件中。
- 向所选 CA 提交 CSR。您可能会获得可分辨编码规则 (DER) 或 Base64 编码的证书。如果 CA 要求提供证书所针对的 Web 服务器类型,请指定其他\未知或 Java 应用程序服务器。在验证身份后,CA 会向您发送 .crt 或 .cer 文件。
- 将从 CA 接收的签名证书保存到可从 ArcGIS Server 管理员目录访问的计算机位置。除了签名证书以外,CA 还会颁发根证书。将 CA 根证书保存到计算机上。
- 登录到 ArcGIS Server 管理员目录:https://gisserver.domain.com:6443/arcgis/admin。
- 单击计算机 > [计算机名称] > sslcertificates > importRootOrIntermediate 以导入 CA 提供的根证书。如果 CA 颁发了其他中间证书,则将这些证书一起导入。
- 导航到计算机 > [计算机名称] > sslcertificates。
- 单击向 CA 提交的自签名证书的名称。
- 单击导入已签名证书,然后浏览到用于保存从 CA 接收的签名证书的位置。
- 单击提交。此时已在之前部分中创建的自签名证书将替换为 CA 签名证书。
将 ArcGIS Server 配置为使用 CA 签名证书
注:
CA 签名证书中定义的 CRL 分布点 (CDP) 必须有效,且可通过托管 ArcGIS Server 的一台或多台计算机进行访问。如果证书中定义的 CDP 无效或者因不具备 Internet 访问权限、网络或防火墙设置而无法访问,则 ArcGIS Desktop 中的发布将失败。要解决此问题,请遵循“常见问题和解决方案”主题中无法将服务发布到使用 CA 颁发的证书的 ArcGIS Server 站点中介绍的步骤。
- 登录到 ArcGIS Server 管理员目录,路径为 https://gisserver.domain.com:6443/arcgis/admin。将 gisserver.domain.com 替换为安装了 ArcGIS Server 的计算机的完全限定名称。
- 浏览至计算机 > [计算机名称]。
- 单击编辑。
- 在 Web 服务器 SSL 证书字段中键入签名证书的名称。所指定的名称应与之前部分中 CA 签名证书所替换掉的自签名证书的别名相匹配。
- 单击保存编辑内容应用所做更改。这将自动重新启动 ArcGIS Server 站点。
- 站点重新启动后,请验证是否可访问 URL https://gisserver.domain.com:6443/arcgis/admin。如果此 URL 没有响应,则 ArcGIS Server 无法使用指定的 SSL 证书。登录到 ArcGIS Server 管理员目录(路径为 http://gisserver.domain.com:6080/arcgis/admin),检查 SSL 证书并将 ArcGIS Server 配置为使用新的或其他证书。
- 在当前页面上,查看属性 Web 服务器 SSL 证书以验证所需证书是否将用于 HTTPS。
配置部署中的每台 ArcGIS Server 计算机
如果 ArcGIS Server 采用多机部署,则必须为参与站点的每台 ArcGIS Server 计算机获取和配置 CA 签名证书。
将 CA 根证书导入到 Windows 证书存储中
如果 Windows 证书存储中不存在证书颁发机构的根证书,则必须将其导入。
- 登录到托管 ArcGIS Server 的计算机。
- 将从 CA 接收的签名证书复制到计算机的某个位置。
- 打开此证书,然后单击证书路径选项卡。如果证书状态:为证书正常,则 CA 根证书将出现在 Windows 证书存储中,并不再需要导入。前进至步骤 12。
- 将 CA 根证书复制到本计算机中的一个位置。
- 打开此证书,然后单击常规选项卡。单击此按钮以安装证书。
- 证书导入向导打开至欢迎窗格后,单击下一步。
- 在证书存储窗格中,选择将所有证书放入下列存储选项。
- 单击浏览按钮。在选择证书存储对话框中,启用显示物理存储选项。
- 展开受信任根证书颁发机构文件夹以显示其内容。选择本地计算机作为要使用的证书存储。单击确定。
- 在证书存储面板中,单击下一步。
- 单击完成。
- 针对站点中的每台 ArcGIS Server 计算机重复步骤 1-11。
- 重新启动每台计算机上的 ArcGIS Server。
为站点配置 HTTPS
- 验证是否可以访问 URL https://gisserver.domain.com:6443/arcgis/admin。如果此 URL 没有响应,则 ArcGIS Server 无法使用指定的证书。检查证书并配置 ArcGIS Server 使用新的或其他证书。
- 如果可访问 URL https://gisserver.domain.com:6443/arcgis/admin,请浏览至安全性 > 配置 > 更新。
- 针对协议参数,选择仅 HTTPS 选项并单击更新。
注:
ArcGIS Web Adaptor 需要一分钟的时间来识别站点通信协议的更改。
旧版本:
在 10.2.1 和早期版本中,需要在更新 ArcGIS Server 的通信协议后重新配置 ArcGIS Web Adaptor。在 10.2.2 和更高版本中,无需再执行此操作。
使用 HTTPS 访问站点
配置 HTTPS 后,ArcGIS Server 将监听 6443 端口是否具有 HTTPS 请求。使用以下 URL 安全访问 ArcGIS Server:
ArcGIS Server Manager | https://gisserver.domain.com:6443/arcgis/manager |
ArcGIS Server 服务目录 | https://gisserver.domain.com:6443/arcgis/rest/services |
注:
如果在启用 HTTPS 时重命名 ArcGIS Server,则可以使用 HTTPS 继续访问 ArcGIS Server;但是,必须生成一个新的证书并配置 ArcGIS Server 使用该证书。