通过ip配置ArcGIS Enterprise及创建证书全过程--以windows10安装ArcGIS Enterprise10.7.1为例

写在前面的话：

1、即使是通过ip配置了portal，在安装portal之前，依然需要确定电脑的机器名、域名和ip，且通过此方式配置，同样不可以更改机器名（会导致portal完全不可用，需要重装），不能修改ip（更改后需要修改许多配置文件，复杂麻烦程度不亚于重装portal）。

2、通过IP的方式并非官方推荐的做法，且本安装方式只适用于简单的部署架构，若系统架构复杂，需要用例如Nginx，F5等配置反向代理，此方式不可用。因为配置反向代理需要在portal中填写portal的WebContextURL，而本方式也同样需要填写，Portal的帮助文档中明确写着目前只接受一个值，因此架构需要用到反向代理的，不可用此方式部署ArcGIS Enterprise环境。

3、此中部署方式并没有经过严格的测试，无法确定其稳定性，作为测试练手可用，如果是正式的生产环境，建议还是采用域名配置的方式部署比较稳妥。

---

特别感谢同事的帮助，所谓前人栽树，后人乘凉，参考地址：windows上安装enterprise10.5.1、 通过OpenSSL创建Chrome可信任的证书颁发给IP    针对IP，域名，多域名利用Openssl生成证书的方式

• 如果用的是虚拟机进行测试的话，一定要在安装所有软件之前把诸如像ip、域名、机器名、计算机cpu核数等都确定好，尤其是用虚拟机，我总是忘记修改默认的cpu核数，默认是1，就是导致10.7或者是10.7.1的portal创建站点失败，提示的错误是构建索引失败，而磁盘空间其实很充足，这其实是一个bug，https://support.esri.com/zh-cn/bugs/nimbus/QlVHLTAwMDEyMjkzNQ== 所以只要不是单核，就不会遇到这个问题。
• 还有一个点，当安装好server并创建了站点之后，再去扩展cpu的核数，比如说从2核扩展到了12核，再次重启虚拟机就会导致server、datastore和portal都起不来，虽然在任务管理器当中能看到ArcGISServer EXE在运行，但是却不能看到一个个的ArcSOC EXE和PostgreSQL Server进程，访问也会提示类似于发生临时dns的错误。当把核心数改回去，以上站点就运行正常了。

上面提到的通过openssl创建证书，是在linux上的，对于没有linux机器或者不会使用linux机器的，可以采用本文中的方法。

1、下载windows上适用的openssl，下载地址，因我的电脑是64位的，所以我选择下载OpenSSL 1.0.2t Light（64-bit）

按照默认位置安装即可，无需多余设置

2、设置环境变量

3、以管理员身份运行cmd，生成证书

我的电脑只有一个盘，所以我先cd到了c盘，然后运行命令，换言之，在哪里运行命令，哪里就是输出路径

完整过程如下图所示

命令行代码：

c:\>openssl genrsa -out 136zhengshu.key 2048
Generating RSA private key, 2048 bit long modulus
................................................+++++
.....+++++
e is 65537 (0x10001)

c:\>openssl req -new -key 136zhengshu.key -out 136zhengshu.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:EsriChina
Organizational Unit Name (eg, section) []:Esrichina
Common Name (e.g. server FQDN or YOUR name) []:192.168.100.136
Email Address []:aoj@esrichina.com.cn

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:1234
An optional company name []:esrichina

c:\>echo subjectAltName=IP:192.168.100.136,DNS:win136.esrichina.com >cert_extensions

c:\>openssl x509 -req -sha256 -in 136zhengshu.csr -signkey 136zhengshu.key -extfile cert_extensions -out 136zhengshu.crt -days 3650
Signature ok
subject=/C=CN/ST=Beijing/L=Beijing/O=EsriChina/OU=Esrichina/CN=192.168.100.136/emailAddress=aoj@esrichina.com.cn
Getting Private key



c:\>openssl pkcs12 -inkey 136zhengshu.key -in 136zhengshu.crt -export -out 136zhengshu.pfx
Enter Export Password:
Verifying - Enter Export Password:

c:\>

生成的文件如下：

4、绑定证书

打开iis，找到服务器证书，选择导入

5、安装Enterprise全家桶，过程略。可参考文章开头第一篇链接

6、配置

关键：证书一定是给ip的，在配置server和portal联合托管的时候一定是ip

6.1、server创建站点没什么好说的，和之前是一样的

6.2、为server配置webadapter

6.3、给server配置托管库和切片库

6.4、创建portal的站点

这个时候访问portal应该还是域名形式的，没有关系，新建站点即可

6.5、创建好站点之后，设置portal的WebContextURL，位置如下

注：这里的截图信息错了，应该是https://192.168.100.136/arcgis       给portal的webadaptor叫什么名称，ip后面就跟什么名称

6.6、给portal配置webadapter，这是一个非常漫长的过程，耐心等就对了

6.7、配置server和portal的托管联合

一定要用ip地址访问portal，且配置托管联合也一定要是ip形式的

正常情况下，联合完以后也能进行托管，如果遇到下图这样的情况，建议从以下几个方面去排查

1.访问的地址应该是https且是配置过webadapter后的portal地址

2.证书是否统一？如果不确定，可以参照这个链接中回答的第一条统一证书

3.如果访问这个地址提示不安全，那么需要在客户端同样也安装证书，安装好以后重启谷歌浏览器即可。

总结一句话：这个位置托管服务器那里选项是灰色的，只有一种可能性，那就是portal认为不安全，所以可以从以上几个方面去排查。

然而上述都做完了，还是不能托管怎么办？一个字，等

差不多一段时间之后，重新刷新这个页面，就可以了，至于为什么，我也很迷，反正我等了一段时候以后，没有管它，再次刷新的时候就能够托管了。

成功！