当 ArcGIS Web Adaptor 已配置为向 ArcGIS Server 站点转发请求时,需要在托管 ArcGIS Web Adaptor 的 web 服务器上启用 HTTPS。 要开始此过程,请执行以下部分中的步骤。
新建自签名证书
- 登录到 ArcGIS Server Administrator Directory,路径为 https://gisserver.domain.com:6443/arcgis/admin。
- 浏览至计算机 > [计算机名称] > sslcertificates。
- 单击生成。
- 为此页面上的参数提供值:
选项 描述 别名
可轻松标识证书的唯一名称。
密钥算法
使用 RSA (默认) 或 DSA。
密钥大小
指定生成的用于创建证书的密钥大小 (单位为位)。 密钥越大,就越难解密;但是,解密数据的时间也会随着密钥的增大而增加。 对于 DSA,密钥大小位于 512 和 1,024 之间。 对于 RSA,推荐的密钥大小为 2,048 或更大。
签名算法
使用默认值 (SHA1withRSA)。 如果组织有特定的安全性限制,则可以针对 DSA 使用以下算法之一:SHA256withRSA、SHA384withRSA、SHA512withRSA、SHA1withDSA。
公用名
将服务器名称的域名作为常用名称。
如果可通过 URL https://www.gisserver.com:6443/arcgis/ 访问 Internet 上的服务器,则请将 www.gisserver.com 作为常用名称。
如果只能通过 URL https://gisserver.domain.com:6443/arcgis 在局域网 (LAN) 上访问服务器,请将 gisserver.domain.com 作为常用名称。
组织单位
您的组织单位的名称,例如 GIS 部门。
组织
您的组织的名称,例如 Esri。
城市或所在地
城市或所在地的名称,例如 Redlands。
州或省
您所在州或省的全名,例如,加利福尼亚。
国家/地区代码
您所在国家/地区的缩写代码,例如 US。
有效期
此证书将有效的总天数,例如 365。
主题备选名称
主题备选名称 (SAN) 是一个可选参数,用于为证书中指定的常用名称 (CN) 定义备选名称。 SAN 参数值中不能包含任何空格。
如果此参数留空,则将本地计算机的完全限制域名用作默认值。 SAN 字段支持多值;但是,该字段必须包含网站的完全限制域名。 例如,如果使用以下 SAN 参数值创建证书,则可利用 URL https://www.esri.com、https://esri 和 https://10.60.1.16 访问同一站点:
DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- 单击生成以生成证书。
请求 CA 为证书签名
如果 ArcGIS Web Adaptor 是到您站点的唯一网关,且组织的 IT 安全策略允许使用自签名证书,则可跳过本部分。 但如果用户能偶尔绕过 ArcGIS Web Adaptor 直接访问 ArcGIS Server,或者您的 IT 策略不允许使用自签名证书,则建议您执行下面的步骤以请求 CA 为证书签名。
- 打开在上一部分中创建的自签名证书,然后单击 generateCSR。 将内容复制到扩展名通常为 .csr 的文件中。
- 向所选 CA 提交 CSR。 您可获得可分辨编码规则 (DER) 或 Base64 编码的证书。 如果 CA 要求提供证书所针对的 Web 服务器类型,请指定其他\未知或 Java 应用程序服务器。 在验证身份后,CA 会向您发送 .crt 或 .cer 文件。
- 请将您从 CA 接收的签名证书保存到计算机的某个位置。 除了签名证书以外,CA 还会颁发根证书。 将 CA 根证书保存到您的计算机上。
- 登录到 ArcGIS Server Administrator Directory:https://gisserver.domain.com:6443/arcgis/admin。
- 单击计算机 > [计算机名称] > sslcertificates > importRootOrIntermediate 以导入 CA 提供的根证书。如果 CA 颁发了其他中间证书,请将这些证书一起导入。
- 浏览至计算机 > [计算机名称] > sslcertificates。
- 单击您已提交给 CA 的自签名证书的名称。
- 单击导入已签名证书,然后浏览到用于保存从 CA 接收的签名证书的位置。
- 单击提交。 您在之前部分中创建的自签名证书将替换为 CA 签名证书。
配置 ArcGIS Server 以使用该证书
要指定 ArcGIS Server 应使用的证书,请完成以下步骤:
- 登录到 ArcGIS Server Administrator Directory,路径为 https://gisserver.domain.com:6443/arcgis/admin。
- 浏览至计算机 > [计算机名称]。
- 单击 edit。
- 在 Web 服务器 SSL 证书字段中键入要使用的证书名称。
- 单击保存编辑内容以应用更改。 这将自动重新启动 ArcGIS Server 站点。
- 站点重新启动后,请验证是否可访问 URL https://gisserver.domain.com:6443/arcgis/admin。 如果此 URL 没有响应,则 ArcGIS Server 无法使用指定的 SSL 证书。 检查 SSL 证书并配置 ArcGIS Server 以使用新的或其他证书。
- 在当前页面上,查看属性 Web 服务器 SSL 证书以验证将用于 HTTPS 的所需证书。
配置部署中的每台计算机
如果 ArcGIS Server 采用多机部署,则必须对部署中的每台计算机进行配置以使用证书。 重复上一部分中的步骤,在每台 ArcGIS Server 计算机中配置证书。
在 ArcGIS Web Adaptor 上配置 HTTPS
在托管 ArcGIS Web Adaptor 的 Web 服务器上启用 HTTPS。 有关完整说明,请参阅特定于 web 服务器的产品文档。
访问您的站点
您可以使用端口 6443 或 Web Adaptor URL 通过 HTTPS 直接对 ArcGIS Server 进行安全访问。 如果您重命名了 ArcGIS Server 站点,则可以使用 HTTPS 继续访问 ArcGIS Server;但是,必须生成一个新的证书并配置 ArcGIS Server 以使用该证书。 URL 的格式如下:
ArcGIS Server Manager | 通过服务器访问 Manager:https://gisserver.domain.com:6443/arcgis/manager。 通过 ArcGIS Web Adaptor 访问 Manager(仅在启用管理访问权限时适用):https://webadaptorhost.domain.com/webadaptorname/manager。 |
ArcGIS Server Services Directory | 通过服务器访问 Services Directory:https://gisserver.domain.com:6443/arcgis/rest/services。 通过 ArcGIS Web Adaptor 访问 Services Directory:https://webadaptorhost.domain.com/webadaptorname/rest/services。 |