Skip To Content

使用新 CA 签名证书配置 HTTPS

本主题介绍了如何使用由证书颁发机构 (CA) 签名的证书为 ArcGIS Server 配置 HTTPS。使用 CA 签名证书配置 HTTPS 的步骤如下:

新建自签名证书

  1. 登录到 ArcGIS Server 管理员目录 https://gisserver.domain.com:6443/arcgis/admin
  2. 浏览至计算机 > [计算机名称] > sslcertificates
  3. 单击生成
  4. 在此页面中提供参数值:

    选项说明

    别名

    用于轻松识别证书的唯一名称。

    密钥算法

    使用 RSA (默认) 或 DSA。

    密钥大小

    指定生成的用于创建证书的密钥大小 (单位为位)。密钥越大,就越难解密;但是,解密数据的时间也会随着密钥的增大而增加。对于 DSA,密钥大小位于 512 和 1,024 之间。对于 RSA,推荐的密钥大小为 2,048 或更大。

    签名算法

    使用默认值 (SHA256withRSA)。如果组织有特定的安全性限制,则可以针对 DSA 使用以下算法之一: SHA384withRSASHA512withRSASHA1withRSASHA1withDSA

    常用名称

    该字段为可选字段,用于向后兼容旧版的 web 浏览器和软件。建议将服务器名称的完全限制域名用作常用名称。

    如果要通过 URL https://www.gisserver.com:6443/arcgis/ 在 Internet 上访问服务器,则将 www.gisserver.com 作为常用名称。

    如果只能在局域网 (LAN) 上通过 URL https://gisserver.domain.com:6443/arcgis 访问服务器,则请将 gisserver.domain.com 作为常用名称。

    组织单位

    组织单位的名称,例如 GIS 部门。

    组织

    组织的名称,例如 Esri。

    城市或所在地

    城市或所在地的名称,例如雷德兰兹。

    州或省

    州或省的全称,例如加利福尼亚。

    国家代码

    国家代码的缩写,例如 US。

    有效期

    此证书有效的总天数,例如 365 天。

    主题备选名称

    主题备选名称 (SAN) 用于验证所访问网站所提供的 SSL 证书是否针对该网站颁发。

    如果此参数留空,则将本地计算机的完全限制域名用作默认值。SAN 字段支持多值;但是,该字段必须包含网站的完全限制域名。SAN 参数值不能包含空格。

    例如,如果服务器主要通过 URL https://www.esri.com 进行访问,则 SAN 参数应设置为 DNS:www.esri.com。如果将在公共网络中使用 URL https://www.esri.com 并在组织的 LAN(局域网)中使用 URL https://gisserver.esri.com 访问服务器,则 SAN 参数应设置为 DNS:www.esri.com,DNS:gisserver.esri.com

    虽然支持在 SAN 参数中使用通配符 (*.esri.com),但不建议使用。如果同一证书用于多个网站或子域,请在 SAN 参数中列出各个网站或子域,如以下示例所示:

    示例:DNS:www.esri.com,DNS:esri.com,DNS:www.esri.ch,DNS:www.esri.rw,DNS:www.esri.de,DNS:maps.esri.com,DNS:support.esri.com,DNS:pro.arcgis.com

  5. 单击生成以生成证书。

请求 CA 为证书签名

为使 Web 浏览器将证书视为受信任证书,必须由 Verisign 或 Thawte 等知名证书颁发机构对证书进行验证和会签。

  1. 打开在上一部分中创建的自签名证书,然后单击 generateCSR。将内容复制到扩展名通常为 .csr 的文件中。
  2. 向所选 CA 提交 CSR。您可能会获得可分辨编码规则 (DER) 或 Base64 编码的证书。如果 CA 要求提供证书所针对的 Web 服务器类型,请指定其他\未知Java 应用程序服务器。在验证身份后,CA 会向您发送 .crt.cer 文件。
  3. 将从 CA 接收的签名证书保存到可从 ArcGIS Server 管理员目录访问的计算机位置。除了签名证书以外,CA 还会颁发根证书。将 CA 根证书保存到计算机上。
  4. 登录到 ArcGIS Server 管理员目录:https://gisserver.domain.com:6443/arcgis/admin
  5. 单击计算机 > [计算机名称] > sslcertificates > importRootOrIntermediate 以导入 CA 提供的根证书。如果 CA 颁发了其他中间证书,则将这些证书一起导入。
  6. 导航到计算机 > [计算机名称] > sslcertificates
  7. 单击向 CA 提交的自签名证书的名称。
  8. 单击导入已签名证书,然后浏览到用于保存从 CA 接收的签名证书的位置。
  9. 单击提交。此时已在之前部分中创建的自签名证书将替换为 CA 签名证书。

ArcGIS Server 配置为使用 CA 签名证书

注:

CA 签名证书中定义的 CRL 分布点 (CDP) 必须有效,且可通过托管 ArcGIS Server 的一台或多台计算机进行访问。如果证书中定义的 CDP 无效或者因不具备 Internet 访问权限、网络或防火墙设置而无法访问,则 ArcGIS Desktop 中的发布将失败。要解决此问题,请遵循“常见问题和解决方案”主题中无法将服务发布到使用 CA 颁发的证书的 ArcGIS Server 站点中介绍的步骤。

  1. 登录到 ArcGIS Server 管理员目录,路径为 https://gisserver.domain.com:6443/arcgis/admin。将 gisserver.domain.com 替换为安装了 ArcGIS Server 的计算机的完全限定名称。
  2. 浏览至计算机 > [计算机名称]
  3. 单击编辑
  4. Web 服务器 SSL 证书字段中键入签名证书的名称。所指定的名称应与之前部分中 CA 签名证书所替换掉的自签名证书的别名相匹配。
  5. 单击保存编辑内容应用所做更改。这将自动重新启动 ArcGIS Server 站点。
  6. 站点重新启动后,请验证是否可访问 URL https://gisserver.domain.com:6443/arcgis/admin。如果此 URL 没有响应,则 ArcGIS Server 无法使用指定的 SSL 证书。登录到 ArcGIS Server 管理员目录(路径为 http://gisserver.domain.com:6080/arcgis/admin),检查 SSL 证书并将 ArcGIS Server 配置为使用新的或其他证书。
  7. 在当前页面上,查看属性 Web 服务器 SSL 证书以验证所需证书是否将用于 HTTPS。

配置部署中的每台 ArcGIS Server 计算机

如果 ArcGIS Server 采用多机部署,则必须为参与站点的每台 ArcGIS Server 计算机获取和配置 CA 签名证书。导入所有证书后,需要重新启动 ArcGIS Server 站点中的所有计算机。

将 CA 根证书导入到 Windows 证书存储中

如果 Windows 证书存储中不存在证书颁发机构的根证书,则必须将其导入。

  1. 登录到托管 ArcGIS Server 的计算机。
  2. 将从 CA 接收的签名证书复制到计算机的某个位置。
  3. 打开此证书,然后单击证书路径选项卡。如果证书状态:证书正常,则 CA 根证书将出现在 Windows 证书存储中,并不再需要导入。前进至步骤 12。
  4. 将 CA 根证书复制到本计算机中的一个位置。
  5. 打开此证书,然后单击常规选项卡。单击此按钮以安装证书
  6. 证书导入向导打开至欢迎窗格后,单击下一步
  7. 证书存储窗格中,选择将所有证书放入下列存储选项。
  8. 单击浏览按钮。在选择证书存储对话框中,启用显示物理存储选项。
  9. 展开受信任根证书颁发机构文件夹以显示其内容。选择本地计算机作为要使用的证书存储。单击确定
  10. 证书存储面板中,单击下一步
  11. 单击完成
  12. 针对站点中的每台 ArcGIS Server 计算机重复步骤 1-11。
  13. 重新启动每台计算机上的 ArcGIS Server

为站点配置 HTTPS

  1. 验证是否可以访问 URL https://gisserver.domain.com:6443/arcgis/admin。如果此 URL 没有响应,则 ArcGIS Server 无法使用指定的证书。检查证书并配置 ArcGIS Server 使用新的或其他证书。
  2. 如果可访问 URL https://gisserver.domain.com:6443/arcgis/admin,请浏览至安全性 > 配置 > 更新
  3. 针对协议参数,选择仅 HTTPS 选项并单击更新
注:

ArcGIS Web Adaptor 需要一分钟的时间来识别站点通信协议的更改。

旧版本:

在 10.2.1 和早期版本中,需要在更新 ArcGIS Server 的通信协议后重新配置 ArcGIS Web Adaptor。在 10.2.2 和更高版本中,无需再执行此操作。

使用 HTTPS 访问站点

配置 HTTPS 后,ArcGIS Server 将监听 6443 端口是否具有 HTTPS 请求。使用以下 URL 安全访问 ArcGIS Server:

ArcGIS Server Manager

https://gisserver.domain.com:6443/arcgis/manager

ArcGIS Server 服务目录

https://gisserver.domain.com:6443/arcgis/rest/services

注:

如果在启用 HTTPS 时重命名 ArcGIS Server,则可以使用 HTTPS 继续访问 ArcGIS Server;但是,必须生成一个新的证书并配置 ArcGIS Server 使用该证书。