通过 ArcGIS Web Adaptor 访问时,在 ArcGIS Server 上启用 SSL
ArcGIS 10.3 (IIS) | 其他版本
在本主题中
- 新建自签名证书
- 请求 CA 为证书签名
- 配置 ArcGIS Server 以使用 SSL 证书
- 配置部署中的每台 GIS 服务器
- 为站点启用 SSL
- 在 ArcGIS Web Adaptor 上配置 SSL。
- 使用 SSL 访问站点
当 ArcGIS Web Adaptor 已配置为向 ArcGIS Server 站点转发请求时,需要在托管 ArcGIS Web Adaptor 的 web 服务器及参与 ArcGIS Server 站点的每台 GIS 服务器上启用 SSL。要开始此过程,请执行以下步骤。
- 新建自签名证书。
- 请求 CA 为证书签名。
- 配置 ArcGIS Server 以使用新证书。
- 配置部署中的每台 GIS 服务器。
- 为站点启用 SSL。
- 在 ArcGIS Web Adaptor 上配置 SSL。
- 使用 SSL 访问站点。
新建自签名证书
- 登录到 ArcGIS Server 管理员目录 http://gisserver.domain.com:6080/arcgis/admin。
- 浏览至计算机 > [计算机名称] > sslcertificates。
- 单击生成。
- 在此页面中提供参数值:
选项 说明 别名
用于轻松识别证书的唯一名称。
密钥算法
使用 RSA(默认)或 DSA。
密钥大小
指定生成的用于创建证书的密钥的大小(单位为位)。密钥越大,就越难解密;但是,解密数据的时间也会随着密钥的增大而增加。对于 DSA,密钥大小可处于 512 和 1,024 之间。对于 RSA,建议的密钥大小为 2,048 或更大。
签名算法
使用默认值 (SHA1withRSA)。如果组织有特定的安全性限制,则可以针对 DSA 使用以下算法之一:SHA256withRSA、SHA384withRSA、SHA512withRSA 和 SHA1withDSA。
公用名
将服务器名称的域名作为公用名。
如果可通过 URL https://www.gisserver.com:6443/arcgis/ 访问 Internet 上的服务器,则请将 www.gisserver.com 作为常用名称。
如果只能在局域网 (LAN) 上通过 URL https://gisserver.domain.com:6443/arcgis 访问服务器,请将 gisserver 作为常用名称。
组织单位
组织单位的名称,例如 GIS 部门。
组织
组织的名称,例如 Esri。
城市或所在地
城市或所在地的名称,例如雷德兰兹。
州或省
州或省的全称,例如加利福尼亚。
国家代码
国家代码的缩写,例如 US。
有效期
此证书有效的总天数,例如 365 天。
主题备选名称
主题备选名称 (SAN) 是一个可选参数,用于为 SSL 证书中指定的常用名称 (CN) 定义备选名称。SAN 参数值中不能包含任何空格。
如果未定义 SAN,则只能使用 URL 中的常用名称访问网站(无 SSL 证书错误)。如果定义了 SAN 且存在 DNS 名称,则网站只能由 SAN 所列对象进行访问。如果需要,可以指定多个 DNS 名称。例如,如果使用以下 SAN 参数值创建 SSL 证书,则 URL(https://www.esri.com、https://esri 和 https://10.60.1.16)可用于访问同一站点:
DNS:www.esri.com,DNS:esri,IP:10.60.1.16
- 单击生成以生成证书。
请求 CA 为证书签名
如果 ArcGIS Web Adaptor 是到您站点的唯一网关,且组织的 IT 安全策略允许使用自签名证书,则可跳过本部分。但如果用户能偶尔绕过 ArcGIS Web Adaptor 直接访问 ArcGIS Server,或者您的 IT 策略不允许使用自签名证书,则建议您执行下面的步骤以请求 CA 为证书签名。
- 打开在上一部分中创建的自签名证书,然后单击 generateCSR。将内容复制到通常具有 *.csr 扩展名的文件中。
- 向所选 CA 提交 CSR。您可获得可分辨编码规则 (DER) 或 Base64 编码的证书。如果 CA 要求提供证书所针对的 Web 服务器类型,请指定其他\未知或 Java 应用程序服务器。在验证身份后,CA 会向您发送 *.crt 或 *.cer 文件。
- 将从 CA 接收的签名证书保存到计算机的某个位置。除了签名证书以外,CA 还会颁发根证书。将 CA 根证书保存到计算机上。
- 登录到 ArcGIS Server 管理员目录:http://gisserver.domain.com:6080/arcgis/admin。
- 单击计算机 > [计算机名称] > sslcertificates > importRootOrIntermediate 以导入 CA 提供的根证书。如果 CA 颁发了其他中间证书,则将这些证书一起导入。
- 导航到计算机 > [计算机名称] > sslcertificates。
- 单击向 CA 提交的自签名证书的名称。
- 单击导入已签名证书,然后浏览到用于保存从 CA 接收的签名证书的位置。
- 单击提交。此时已在之前部分中创建的自签名证书将替换为 CA 签名证书。
配置 ArcGIS Server 以使用 SSL 证书
要指定 ArcGIS Server 应使用的 SSL 证书,请完成以下步骤:
- 登录到 ArcGIS Server 管理员目录 http://gisserver.domain.com:6080/arcgis/admin。
- 浏览至计算机 > [计算机名称]。
- 单击编辑。
- 在 Web 服务器 SSL 证书字段中输入要使用的 SSL 证书的名称。
- 单击保存编辑内容应用更改。
- 在当前页面上,查看属性 Web 服务器 SSL 证书以验证所需 SSL 证书将用于 SSL。
配置部署中的每台 GIS 服务器
如果 ArcGIS Server 采用多机部署,则必须对部署中的每台 GIS 服务器进行配置以使用 SSL 证书。重复上一部分中的步骤,在每台 GIS 服务器中配置证书。
为站点启用 SSL
- 登录到 ArcGIS Server 管理员目录 http://gisserver.domain.com:6080/arcgis/admin。
- 浏览至安全性 > 配置 > 更新。
- 针对协议参数,选择 HTTP 和 HTTPS 选项并单击更新。这将自动重新启动 ArcGIS Server 站点。
- 站点重新启动后,请验证是否可访问 URL https://gisserver.domain.com:6443/arcgis/admin。如果此 URL 没有响应,ArcGIS Server 将无法使用指定的 SSL 证书。检查 SSL 证书并配置 ArcGIS Server 使用新的或其他 SSL 证书。
- 如果可访问 URL https://gisserver.domain.com:6443/arcgis/admin,请浏览至安全性 > 配置 > 更新。
- 针对协议参数,选择仅 HTTPS 选项并单击更新。ArcGIS Server 已重新启动。
- 服务器重新启动后,请检验是否可访问 ArcGIS Server 的 HTTPS URL,如 https://gisserver.domain.com:6443/arcgis/rest/services。
在 ArcGIS Web Adaptor 上配置 SSL。
在托管 ArcGIS Web Adaptor 的 web 服务器上启用 SSL。有关完整说明,请参阅特定于 web 服务器的产品文档。要了解 SSL 的详细信息,请参阅在 Web 服务器上启用 SSL。
旧版本:
在 10.2.1 和早期版本中,需要在更新 ArcGIS Server 的通信协议后重新配置 ArcGIS Web Adaptor。在 10.2.2 和更高版本中不再需要进行此操作。
使用 SSL 访问站点
SSL 配置完成后,即可使用端口 6443 或 Web Adaptor URL 通过 HTTPS 直接对 ArcGIS Server 进行安全访问。如果在启用 SSL 时重命名 ArcGIS Server,则可以使用 SSL 继续访问 ArcGIS Server;但是,必须生成一个新的 SSL 证书并配置 ArcGIS Server 使用该证书。URL 的格式如下:
| ArcGIS Server Manager | 通过 GIS 服务器访问管理器:https://gisserver.domain.com:6443/arcgis/manager. 通过 ArcGIS Web Adaptor 访问管理器(仅当启用管理访问权限时适用):https://webadaptor.domain.com/arcgis/manager。 |
| ArcGIS Server 服务目录 | 通过 GIS 服务器访问服务目录:https://gisserver.domain.com:6443/arcgis/rest/services. 通过 ArcGIS Web Adaptor 访问服务目录: https://webadaptor.domain.com/arcgis/rest/services. |
5099
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
