本主题介绍了如何使用自签名证书为 ArcGIS Server 配置 HTTPS。使用自签名证书配置 HTTPS 的步骤如下:
新建自签名证书
- 登录到 ArcGIS Server 管理员目录 https://gisserver.domain.com:6443/arcgis/admin。
- 浏览至计算机 > [计算机名称] > sslcertificates。
- 单击生成。
- 在此页面中提供参数值:
选项 说明 别名
用于轻松识别证书的唯一名称。
密钥算法
使用 RSA (默认) 或 DSA。
密钥大小
指定生成的用于创建证书的密钥大小 (单位为位)。密钥越大,就越难解密;但是,解密数据的时间也会随着密钥的增大而增加。对于 DSA,密钥大小位于 512 和 1,024 之间。对于 RSA,推荐的密钥大小为 2,048 或更大。
签名算法
使用默认值 (SHA256withRSA)。如果组织有特定的安全性限制,则可以针对 DSA 使用以下算法之一: SHA384withRSA、SHA512withRSA、SHA1withRSA、SHA1withDSA。
常用名称
该字段为可选字段,用于向后兼容旧版的 web 浏览器和软件。建议将服务器名称的完全限制域名用作常用名称。
如果要通过 URL https://www.gisserver.com:6443/arcgis/ 在 Internet 上访问服务器,则将 www.gisserver.com 作为常用名称。
如果只能在局域网 (LAN) 上通过 URL https://gisserver.domain.com:6443/arcgis 访问服务器,则请将 gisserver.domain.com 作为常用名称。
组织单位
组织单位的名称,例如 GIS 部门。
组织
组织的名称,例如 Esri。
城市或所在地
城市或所在地的名称,例如雷德兰兹。
州或省
州或省的全称,例如加利福尼亚。
国家代码
国家代码的缩写,例如 US。
有效期
此证书有效的总天数,例如 365 天。
主题备选名称
主题备选名称 (SAN) 用于验证所访问网站所提供的 SSL 证书是否针对该网站颁发。
如果此参数留空,则将本地计算机的完全限制域名用作默认值。SAN 字段支持多值;但是,该字段必须包含网站的完全限制域名。SAN 参数值不能包含空格。
例如,如果服务器主要通过 URL https://www.esri.com 进行访问,则 SAN 参数应设置为 DNS:www.esri.com。如果将在公共网络中使用 URL https://www.esri.com 并在组织的 LAN(局域网)中使用 URL https://gisserver.esri.com 访问服务器,则 SAN 参数应设置为 DNS:www.esri.com,DNS:gisserver.esri.com。
虽然支持在 SAN 参数中使用通配符 (*.esri.com),但不建议使用。如果同一证书用于多个网站或子域,请在 SAN 参数中列出各个网站或子域,如以下示例所示:
示例:DNS:www.esri.com,DNS:esri.com,DNS:www.esri.ch,DNS:www.esri.rw,DNS:www.esri.de,DNS:maps.esri.com,DNS:support.esri.com,DNS:pro.arcgis.com。
- 单击生成以生成证书。
配置 ArcGIS Server 以使用该证书
要指定 ArcGIS Server 应使用的证书,请完成以下步骤:
- 登录到 ArcGIS Server 管理员目录 https://gisserver.domain.com:6443/arcgis/admin。
- 浏览至计算机 > [计算机名称]。
- 单击编辑。
- 在 Web 服务器 SSL 证书字段中键入要使用的证书名称。
- 单击保存编辑内容以应用更改。这将自动重新启动 ArcGIS Server 站点。
- 站点重新启动后,请验证是否可访问 URL https://gisserver.domain.com:6443/arcgis/admin。如果此 URL 没有响应,则 ArcGIS Server 无法使用证书。登录到 ArcGIS Server 管理员目录 http://gisserver.domain.com:6080/arcgis/admin,检查 SSL 证书并配置 ArcGIS Server 使用新的或其他证书。
- 在当前页面上,查看属性 Web 服务器 SSL 证书以验证所需证书是否将用于 HTTPS。
配置部署中的每台 GIS 服务器
如果 ArcGIS Server 采用多机部署,则必须为参与站点的每台 GIS 服务器新建自签名证书,并配置该 GIS 服务器使用该证书。
为站点配置 HTTPS
- 验证是否可以访问 URL https://gisserver.domain.com:6443/arcgis/admin。如果此 URL 没有响应,则 ArcGIS Server 无法使用指定的证书。检查证书并配置 ArcGIS Server 使用新的或其他证书。
- 如果可访问 URL https://gisserver.domain.com:6443/arcgis/admin,请浏览至安全性 > 配置 > 更新。
- 针对协议参数,选择仅 HTTPS 选项并单击更新。
注:
ArcGIS Web Adaptor 需要一分钟的时间来识别站点通信协议的更改。
旧版本:
在 10.2.1 和早期版本中,需要在更新 ArcGIS Server 的通信协议后重新配置 ArcGIS Web Adaptor。在 10.2.2 和更高版本中,无需再执行此操作。
使用 HTTPS 访问站点
配置 HTTPS 后,ArcGIS Server 将监听 6443 端口是否具有 HTTPS 请求。使用以下 URL 安全访问 ArcGIS Server:
ArcGIS Server Manager | https://gisserver.domain.com:6443/arcgis/manager |
ArcGIS Server 服务目录 | https://gisserver.domain.com:6443/arcgis/rest/services |
注:
如果在启用 HTTPS 时重命名 ArcGIS Server,则可以使用 HTTPS 继续访问 ArcGIS Server;但是,必须生成一个新的证书并配置 ArcGIS Server 使用该证书。
将证书导入到 OS 证书存储中
为了使 PrintingTools 服务等 ArcGIS 服务可与已启用 HTTPS 的 ArcGIS Server 一同使用,必须安装服务器证书作为受信任的证书:
- 登录到 ArcGIS Server 管理员目录。
- 浏览至计算机 > [计算机名称] > sslcertificates。
- 单击 ArcGIS Server 正在使用的证书并单击导出。将文件保存到计算机上存储 CA 根证书的位置。
- 在托管 ArcGIS Server 的计算机上,浏览至 <ArcGIS Server installation directory>/arcgis/server/usr 目录,然后在文本编辑器中打开 init_user_param.sh 脚本。
- 找到行 export CA_ROOT_CERTIFICATE_DIR=<Location_to_CA_Root_Certificate> 并指定在系统中存储所有 CA 根证书的位置。请注意,指定的目录需要能够供安装 ArcGIS Server 的账户访问。您需要通过移除井号 (#) 字符取消行的注释。
- 保存并关闭 init_user_param.sh 脚本。
- 然后重新启动 ArcGIS Server。可通过在您站点中的每台 GIS 服务器上运行 startserver.sh 脚本来执行此操作。
- 针对站点中的每台 GIS 服务器重复以上步骤。