本主题介绍了如何使用由证书颁发机构 (CA) 签名的证书为 ArcGIS Server 配置 HTTPS。使用 CA 签名证书配置 HTTPS 的步骤如下:
新建自签名证书
- 登录到 ArcGIS Server 管理员目录 https://gisserver.domain.com:6443/arcgis/admin。
- 浏览至计算机 > [计算机名称] > sslcertificates。
- 单击生成。
- 在此页面中提供参数值:
选项 说明 别名
用于轻松识别证书的唯一名称。
密钥算法
使用 RSA (默认) 或 DSA。
密钥大小
指定生成的用于创建证书的密钥大小 (单位为位)。密钥越大,就越难解密;但是,解密数据的时间也会随着密钥的增大而增加。对于 DSA,密钥大小位于 512 和 1,024 之间。对于 RSA,推荐的密钥大小为 2,048 或更大。
签名算法
使用默认值 (SHA256withRSA)。如果组织有特定的安全性限制,则可以针对 DSA 使用以下算法之一: SHA384withRSA、SHA512withRSA、SHA1withRSA、SHA1withDSA。
常用名称
该字段为可选字段,用于向后兼容旧版的 web 浏览器和软件。建议将服务器名称的完全限制域名用作常用名称。
如果要通过 URL https://www.gisserver.com:6443/arcgis/ 在 Internet 上访问服务器,则将 www.gisserver.com 作为常用名称。
如果只能在局域网 (LAN) 上通过 URL https://gisserver.domain.com:6443/arcgis 访问服务器,则请将 gisserver.domain.com 作为常用名称。
组织单位
组织单位的名称,例如 GIS 部门。
组织
组织的名称,例如 Esri。
城市或所在地
城市或所在地的名称,例如雷德兰兹。
州或省
州或省的全称,例如加利福尼亚。
国家代码
国家代码的缩写,例如 US。
有效期
此证书有效的总天数,例如 365 天。
主题备选名称
主题备选名称 (SAN) 用于验证所访问网站所提供的 SSL 证书是否针对该网站颁发。
如果此参数留空,则将本地计算机的完全限制域名用作默认值。SAN 字段支持多值;但是,该字段必须包含网站的完全限制域名。SAN 参数值不能包含空格。
例如,如果服务器主要通过 URL https://www.esri.com 进行访问,则 SAN 参数应设置为 DNS:www.esri.com。如果将在公共网络中使用 URL https://www.esri.com 并在组织的 LAN(局域网)中使用 URL https://gisserver.esri.com 访问服务器,则 SAN 参数应设置为 DNS:www.esri.com,DNS:gisserver.esri.com。
虽然支持在 SAN 参数中使用通配符 (*.esri.com),但不建议使用。如果同一证书用于多个网站或子域,请在 SAN 参数中列出各个网站或子域,如以下示例所示:
示例:DNS:www.esri.com,DNS:esri.com,DNS:www.esri.ch,DNS:www.esri.rw,DNS:www.esri.de,DNS:maps.esri.com,DNS:support.esri.com,DNS:pro.arcgis.com。
- 单击生成以生成证书。
请求 CA 为证书签名
为使 Web 浏览器将证书视为受信任证书,必须由 Verisign 或 Thawte 等知名证书颁发机构对证书进行验证和会签。
- 打开在上一部分中创建的自签名证书,然后单击 generateCSR。将内容复制到扩展名通常为 .csr 的文件中。
- 向所选 CA 提交 CSR。您可能会获得可分辨编码规则 (DER) 或 Base64 编码的证书。如果 CA 要求提供证书所针对的 Web 服务器类型,请指定其他\未知或 Java 应用程序服务器。在验证身份后,CA 会向您发送 .crt 或 .cer 文件。
- 将从 CA 接收的签名证书保存到可从 ArcGIS Server 管理员目录访问的计算机位置。除了签名证书以外,CA 还会颁发根证书。将 CA 根证书保存到计算机上。
- 登录到 ArcGIS Server 管理员目录:https://gisserver.domain.com:6443/arcgis/admin。
- 单击计算机 > [计算机名称] > sslcertificates > importRootOrIntermediate 以导入 CA 提供的根证书。如果 CA 颁发了其他中间证书,则将这些证书一起导入。
- 导航到计算机 > [计算机名称] > sslcertificates。
- 单击向 CA 提交的自签名证书的名称。
- 单击导入已签名证书,然后浏览到用于保存从 CA 接收的签名证书的位置。
- 单击提交。此时已在之前部分中创建的自签名证书将替换为 CA 签名证书。
将 ArcGIS Server 配置为使用 CA 签名证书
注:
CA 签名证书中定义的 CRL 分布点 (CDP) 必须有效,且可通过托管 ArcGIS Server 的一台或多台计算机进行访问。如果证书中定义的 CDP 无效或者因不具备 Internet 访问权限、网络或防火墙设置而无法访问,则 ArcGIS Desktop 中的发布将失败。要解决此问题,请遵循“常见问题和解决方案”主题中无法将服务发布到使用 CA 颁发的证书的 ArcGIS Server 站点中介绍的步骤。
- 登录到 ArcGIS Server 管理员目录,路径为 https://gisserver.domain.com:6443/arcgis/admin。将 gisserver.domain.com 替换为安装了 ArcGIS Server 的计算机的完全限定名称。
- 浏览至计算机 > [计算机名称]。
- 单击编辑。
- 在 Web 服务器 SSL 证书字段中键入签名证书的名称。所指定的名称应与之前部分中 CA 签名证书所替换掉的自签名证书的别名相匹配。
- 单击保存编辑内容应用所做更改。这将自动重新启动 ArcGIS Server 站点。
- 站点重新启动后,请验证是否可访问 URL https://gisserver.domain.com:6443/arcgis/admin。如果此 URL 没有响应,则 ArcGIS Server 无法使用指定的 SSL 证书。登录到 ArcGIS Server 管理员目录(路径为 http://gisserver.domain.com:6080/arcgis/admin),检查 SSL 证书并将 ArcGIS Server 配置为使用新的或其他证书。
- 在当前页面上,查看属性 Web 服务器 SSL 证书以验证所需证书是否将用于 HTTPS。
配置部署中的每台 ArcGIS Server 计算机
如果 ArcGIS Server 采用多机部署,则必须为参与站点的每台 ArcGIS Server 计算机获取和配置 CA 签名证书。导入所有证书后,需要重新启动 ArcGIS Server 站点中的所有计算机。
将 CA 根证书导入到 Windows 证书存储中
如果 Windows 证书存储中不存在证书颁发机构的根证书,则必须将其导入。
- 登录到托管 ArcGIS Server 的计算机。
- 将从 CA 接收的签名证书复制到计算机的某个位置。
- 打开此证书,然后单击证书路径选项卡。如果证书状态:为证书正常,则 CA 根证书将出现在 Windows 证书存储中,并不再需要导入。前进至步骤 12。
- 将 CA 根证书复制到本计算机中的一个位置。
- 打开此证书,然后单击常规选项卡。单击此按钮以安装证书。
- 证书导入向导打开至欢迎窗格后,单击下一步。
- 在证书存储窗格中,选择将所有证书放入下列存储选项。
- 单击浏览按钮。在选择证书存储对话框中,启用显示物理存储选项。
- 展开受信任根证书颁发机构文件夹以显示其内容。选择本地计算机作为要使用的证书存储。单击确定。
- 在证书存储面板中,单击下一步。
- 单击完成。
- 针对站点中的每台 ArcGIS Server 计算机重复步骤 1-11。
- 重新启动每台计算机上的 ArcGIS Server。
为站点配置 HTTPS
- 验证是否可以访问 URL https://gisserver.domain.com:6443/arcgis/admin。如果此 URL 没有响应,则 ArcGIS Server 无法使用指定的证书。检查证书并配置 ArcGIS Server 使用新的或其他证书。
- 如果可访问 URL https://gisserver.domain.com:6443/arcgis/admin,请浏览至安全性 > 配置 > 更新。
- 针对协议参数,选择仅 HTTPS 选项并单击更新。
注:
ArcGIS Web Adaptor 需要一分钟的时间来识别站点通信协议的更改。
旧版本:
在 10.2.1 和早期版本中,需要在更新 ArcGIS Server 的通信协议后重新配置 ArcGIS Web Adaptor。在 10.2.2 和更高版本中,无需再执行此操作。
使用 HTTPS 访问站点
配置 HTTPS 后,ArcGIS Server 将监听 6443 端口是否具有 HTTPS 请求。使用以下 URL 安全访问 ArcGIS Server:
ArcGIS Server Manager | https://gisserver.domain.com:6443/arcgis/manager |
ArcGIS Server 服务目录 | https://gisserver.domain.com:6443/arcgis/rest/services |
注:
如果在启用 HTTPS 时重命名 ArcGIS Server,则可以使用 HTTPS 继续访问 ArcGIS Server;但是,必须生成一个新的证书并配置 ArcGIS Server 使用该证书。