Skip To Content

使用新 CA 签名证书配置 ArcGIS Server

本主题将介绍创建证书、由证书颁发机构 (CA) 进行签名并使用 ArcGIS Server 对其进行配置的相关步骤。要执行的步骤如下:

创建自签名证书

  1. 登录到 ArcGIS Server 管理员目录,路径为 https://gisserver.domain.com:6443/arcgis/admin
  2. 浏览至计算机 > [计算机名称] > sslcertificates
  3. 单击生成
  4. 在此页面中提供参数值:

    选项描述

    别名

    用于轻松识别证书的唯一名称。

    密钥算法

    使用 RSA (默认) 或 DSA。

    密钥大小

    指定生成的用于创建证书的密钥大小 (单位为位)。密钥越大,就越难解密;但是,解密数据的时间也会随着密钥的增大而增加。对于 DSA,密钥大小位于 512 和 1,024 之间。对于 RSA,推荐的密钥大小为 2,048 或更大。

    签名算法

    使用默认值 (SHA256withRSA)。如果组织有特定的安全性限制,则可以针对 DSA 使用以下算法之一: SHA384withRSASHA512withRSASHA1withRSASHA1withDSA

    常用名称

    该字段为可选字段,用于向后兼容旧版的 web 浏览器和软件。建议将服务器名称的完全限制域名用作常用名称。

    如果要通过 URL https://www.gisserver.com:6443/arcgis/ 在 Internet 上访问服务器,则将 www.gisserver.com 作为常用名称。

    如果只能在局域网 (LAN) 上通过 URL https://gisserver.domain.com:6443/arcgis 访问服务器,则请将 gisserver.domain.com 作为常用名称。

    组织单位

    组织单位的名称,例如 GIS 部门。

    组织

    组织的名称,例如 Esri。

    城市或所在地

    城市或所在地的名称,例如雷德兰兹。

    州或省

    州或省的全称,例如加利福尼亚。

    国家代码

    国家代码的缩写,例如 US。

    有效期

    此证书有效的总天数,例如 365 天。

    主题备选名称

    主题备选名称 (SAN) 用于验证所访问网站所提供的 SSL 证书是否针对该网站颁发。

    如果此参数留空,则将本地计算机的完全限制域名用作默认值。SAN 字段支持多值;但是,该字段必须包含网站的完全限制域名。SAN 参数值不能包含空格。

    例如,如果服务器主要通过 URL https://www.esri.com 进行访问,则 SAN 参数应设置为 DNS:www.esri.com。如果将在公共网络中使用 URL https://www.esri.com 并在组织的 LAN(局域网)中使用 URL https://gisserver.esri.com 访问服务器,则 SAN 参数应设置为 DNS:www.esri.com,DNS:gisserver.esri.com

    虽然支持在 SAN 参数中使用通配符 (*.esri.com),但不建议使用。如果同一证书用于多个网站或子域,请在 SAN 参数中列出各个网站或子域,如以下示例所示:

    示例:DNS:www.esri.com,DNS:esri.com,DNS:www.esri.ch,DNS:www.esri.rw,DNS:www.esri.de,DNS:maps.esri.com,DNS:support.esri.com,DNS:pro.arcgis.com

  5. 单击生成以生成证书。

请求 CA 为证书签名

为使 Web 浏览器将证书视为受信任证书,必须由 Verisign 或 Thawte 等知名证书颁发机构对证书进行验证和会签。

旧版本:

在 10.5.1 及更早版本中,需要使用 init_user_param.sh 脚本的 CA_ROOT_CERTIFICATE_DIR 变量将 CA 签名的根证书导入到 OS 证书存储中。而在 10.6 版本中则不再需要进行此步骤。

  1. 打开在上一部分中创建的自签名证书,然后单击 generateCSR。将内容复制到扩展名通常为 .csr 的文件中。
  2. 向所选 CA 提交 CSR。您可能会获得可分辨编码规则 (DER) 或 Base64 编码的证书。如果 CA 要求提供证书所针对的 Web 服务器类型,请指定其他\未知Java 应用程序服务器。在验证身份后,CA 会向您发送 .crt.cer 文件。
  3. 将从 CA 接收的签名证书保存到可从 ArcGIS Server 管理员目录访问的计算机位置。除了签名证书以外,CA 还会颁发根证书。将 CA 根证书保存到计算机上。
  4. 登录到 ArcGIS Server 管理员目录:https://gisserver.domain.com:6443/arcgis/admin
  5. 单击计算机 > [计算机名称] > sslcertificates > importRootOrIntermediate 以导入 CA 提供的根证书。如果 CA 颁发了其他中间证书,则将这些证书一起导入。
  6. 浏览至计算机 > [计算机名称] > sslcertificates
  7. 单击向 CA 提交的自签名证书的名称。
  8. 单击导入已签名证书,然后浏览到用于保存从 CA 接收的签名证书的位置。
  9. 单击提交。此时已在之前部分中创建的自签名证书将替换为 CA 签名证书。

ArcGIS Server 配置为使用 CA 签名证书

  1. 登录到 ArcGIS Server 管理员目录,路径为 https://gisserver.domain.com:6443/arcgis/admin。将 gisserver.domain.com 替换为安装了 ArcGIS Server 的计算机的完全限定名称。
  2. 浏览至计算机 > [计算机名称]
  3. 单击编辑
  4. Web 服务器 SSL 证书字段中键入签名证书的名称。所指定的名称应与之前部分中 CA 签名证书所替换掉的自签名证书的别名相匹配。
  5. 单击保存编辑内容应用所做更改。这将自动重新启动 ArcGIS Server 站点。
  6. 站点重新启动后,请验证是否可访问 URL https://gisserver.domain.com:6443/arcgis/admin。如果此 URL 没有响应,则 ArcGIS Server 无法使用指定的 SSL 证书。登录到 ArcGIS Server 管理员目录(路径为 http://gisserver.domain.com:6080/arcgis/admin),检查 SSL 证书并将 ArcGIS Server 配置为使用新的或其他证书。
  7. 在当前页面上,查看属性 Web 服务器 SSL 证书以验证所需证书是否将用于 HTTPS。

配置部署中的每台 ArcGIS Server 计算机

如果 ArcGIS Server 采用多机部署,则必须为参与站点的每台 ArcGIS Server 计算机获取和配置 CA 签名证书。导入所有证书后,需要重新启动 ArcGIS Server 站点中的所有计算机。

访问您的站点

在已根据默认设置启用 HTTPS 的情况下,ArcGIS Server 监听端口 6443 是否具有请求。使用以下 URL 安全访问 ArcGIS Server

ArcGIS Server Manager

https://gisserver.domain.com:6443/arcgis/manager

ArcGIS Server 服务目录

https://gisserver.domain.com:6443/arcgis/rest/services

注:

如果您重命名了 ArcGIS Server,则可以使用 HTTPS 继续访问 ArcGIS Server;但是,必须生成一个新的证书并配置 ArcGIS Server 以使用该证书。