Skip To Content

在通过 ArcGIS Web Adaptor 访问 ArcGIS Server 时,请为其配置 CA 签名证书

ArcGIS Web Adaptor 已配置为向 ArcGIS Server 站点转发请求时,需要在托管 ArcGIS Web Adaptor 的 web 服务器上启用 HTTPS。 要开始此过程,请执行以下部分中的步骤。

新建自签名证书

  1. 登录到 ArcGIS Server Administrator Directory,路径为 https://gisserver.domain.com:6443/arcgis/admin
  2. 浏览至计算机 > [计算机名称] > sslcertificates
  3. 单击生成
  4. 为此页面上的参数提供值:

    选项描述

    别名

    可轻松标识证书的唯一名称。

    密钥算法

    使用 RSA (默认) 或 DSA。

    密钥大小

    指定生成的用于创建证书的密钥大小 (单位为位)。 密钥越大,就越难解密;但是,解密数据的时间也会随着密钥的增大而增加。 对于 DSA,密钥大小位于 512 和 1,024 之间。 对于 RSA,推荐的密钥大小为 2,048 或更大。

    签名算法

    使用默认值 (SHA1withRSA)。 如果组织有特定的安全性限制,则可以针对 DSA 使用以下算法之一:SHA256withRSASHA384withRSASHA512withRSASHA1withDSA

    公用名

    将服务器名称的域名作为常用名称。

    如果可通过 URL https://www.gisserver.com:6443/arcgis/ 访问 Internet 上的服务器,则请将 www.gisserver.com 作为常用名称。

    如果只能通过 URL https://gisserver.domain.com:6443/arcgis 在局域网 (LAN) 上访问服务器,请将 gisserver.domain.com 作为常用名称。

    组织单位

    您的组织单位的名称,例如 GIS 部门。

    组织

    您的组织的名称,例如 Esri。

    城市或所在地

    城市或所在地的名称,例如 Redlands。

    州或省

    您所在州或省的全名,例如,加利福尼亚。

    国家/地区代码

    您所在国家/地区的缩写代码,例如 US。

    有效期

    此证书将有效的总天数,例如 365。

    主题备选名称

    主题备选名称 (SAN) 是一个可选参数,用于为证书中指定的常用名称 (CN) 定义备选名称。 SAN 参数值中不能包含任何空格。

    如果此参数留空,则将本地计算机的完全限制域名用作默认值。 SAN 字段支持多值;但是,该字段必须包含网站的完全限制域名。 例如,如果使用以下 SAN 参数值创建证书,则可利用 URL https://www.esri.comhttps://esrihttps://10.60.1.16 访问同一站点:

    DNS:www.esri.com,DNS:esri,IP:10.60.1.16

  5. 单击生成以生成证书。

请求 CA 为证书签名

如果 ArcGIS Web Adaptor 是到您站点的唯一网关,且组织的 IT 安全策略允许使用自签名证书,则可跳过本部分。 但如果用户能偶尔绕过 ArcGIS Web Adaptor 直接访问 ArcGIS Server,或者您的 IT 策略不允许使用自签名证书,则建议您执行下面的步骤以请求 CA 为证书签名。

  1. 打开在上一部分中创建的自签名证书,然后单击 generateCSR。 将内容复制到扩展名通常为 .csr 的文件中。
  2. 向所选 CA 提交 CSR。 您可获得可分辨编码规则 (DER) 或 Base64 编码的证书。 如果 CA 要求提供证书所针对的 Web 服务器类型,请指定其他\未知Java 应用程序服务器。 在验证身份后,CA 会向您发送 .crt.cer 文件。
  3. 请将您从 CA 接收的签名证书保存到计算机的某个位置。 除了签名证书以外,CA 还会颁发根证书。 将 CA 根证书保存到您的计算机上。
  4. 登录到 ArcGIS Server Administrator Directory:https://gisserver.domain.com:6443/arcgis/admin
  5. 单击计算机 > [计算机名称] > sslcertificates > importRootOrIntermediate 以导入 CA 提供的根证书。如果 CA 颁发了其他中间证书,请将这些证书一起导入。
  6. 浏览至计算机 > [计算机名称] > sslcertificates
  7. 单击您已提交给 CA 的自签名证书的名称。
  8. 单击导入已签名证书,然后浏览到用于保存从 CA 接收的签名证书的位置。
  9. 单击提交。 您在之前部分中创建的自签名证书将替换为 CA 签名证书。

配置 ArcGIS Server 以使用该证书

要指定 ArcGIS Server 应使用的证书,请完成以下步骤:

  1. 登录到 ArcGIS Server Administrator Directory,路径为 https://gisserver.domain.com:6443/arcgis/admin
  2. 浏览至计算机 > [计算机名称]
  3. 单击 edit
  4. Web 服务器 SSL 证书字段中键入要使用的证书名称。
  5. 单击保存编辑内容以应用更改。 这将自动重新启动 ArcGIS Server 站点。
  6. 站点重新启动后,请验证是否可访问 URL https://gisserver.domain.com:6443/arcgis/admin。 如果此 URL 没有响应,则 ArcGIS Server 无法使用指定的 SSL 证书。 检查 SSL 证书并配置 ArcGIS Server 以使用新的或其他证书。
  7. 在当前页面上,查看属性 Web 服务器 SSL 证书以验证将用于 HTTPS 的所需证书。

配置部署中的每台计算机

如果 ArcGIS Server 采用多机部署,则必须对部署中的每台计算机进行配置以使用证书。 重复上一部分中的步骤,在每台 ArcGIS Server 计算机中配置证书。

ArcGIS Web Adaptor 上配置 HTTPS

在托管 ArcGIS Web Adaptor 的 Web 服务器上启用 HTTPS。 有关完整说明,请参阅特定于 web 服务器的产品文档。

访问您的站点

您可以使用端口 6443 或 Web Adaptor URL 通过 HTTPS 直接对 ArcGIS Server 进行安全访问。 如果您重命名了 ArcGIS Server 站点,则可以使用 HTTPS 继续访问 ArcGIS Server;但是,必须生成一个新的证书并配置 ArcGIS Server 以使用该证书。 URL 的格式如下:

ArcGIS Server Manager

通过服务器访问 Manager:https://gisserver.domain.com:6443/arcgis/manager

通过 ArcGIS Web Adaptor 访问 Manager(仅在启用管理访问权限时适用):https://webadaptorhost.domain.com/webadaptorname/manager

ArcGIS Server Services Directory

通过服务器访问 Services Directory:https://gisserver.domain.com:6443/arcgis/rest/services

通过 ArcGIS Web Adaptor 访问 Services Directory:https://webadaptorhost.domain.com/webadaptorname/rest/services