Aktivieren von SSL mit einem selbstsignierten Zertifikat

In diesem Lernprogramm erfahren Sie, wie Sie SSL für einen ArcGIS-Server unter Verwendung eines selbstsignierten Zertifikats aktivieren. Folgende Schritte sind zum Aktivieren von SSL mit dem selbstsignierten Zertifikat erforderlich:

Erstellen eines neuen selbstsignierten Zertifikats

Schritte:
  1. Melden Sie sich beim ArcGIS Server Administrator Directory an: http://gisserver.domain.com:6080/arcgis/admin.
  2. Navigieren Sie zu machines > [Computername] > sslcertificates.
  3. Klicken Sie auf generate.
  4. Geben Sie Werte für die Parameter auf dieser Seite an:

    Option

    Beschreibung

    Alias

    Ein eindeutiger und aussagekräftiger Name für das Zertifikat.

    Key Algorithm

    Wählen Sie RSA (Standard) oder DSA aus.

    Key Size

    Hiermit wird die Größe der kryptografischen Schlüssel in Bits angegeben, die für die Erstellung des Zertifikats generiert werden. Je größer der Schlüssel, umso schwerer lässt sich die Verschlüsselung umgehen. Jedoch erhöht sich mit der Schlüsselgröße auch die Entschlüsselungsdauer. Bei DSA kann die Schlüsselgröße zwischen 512 und 1024 liegen. Bei RSA liegt die empfohlene Größe bei 2048 oder mehr.

    Signature Algorithm

    Verwenden Sie den Standardwert (SHA1withRSA). Wenn für Ihre Organisation bestimmte Sicherheitsbeschränkungen gelten, kann einer der folgenden Algorithmen für DSA verwendet werden: SHA256withRSA, SHA384withRSA, SHA512withRSA, SHA1withDSA.

    Common Name

    Verwenden Sie den Domänennamen des Servernamens als allgemeinen Namen.

    Wenn auf Ihren Server über das Internet, d. h. über die URL https://www.gisserver.com:6443/arcgis/ zugegriffen wird, verwenden Sie www.gisserver.com als allgemeinen Namen.

    Wenn auf Ihren Server nur über das lokale Netzwerk (Local Area Network, LAN), d. h. über die URL https://gisserver.domain.com:6443/arcgis zugegriffen wird, verwenden Sie gisserver als allgemeinen Namen.

    Organizational Unit

    Der Name der organisatorischen Einheit, z. B. GIS-Abteilung.

    Organisation=

    Der Name der Organisation, z. B. Esri.

    City or Locality

    Der Name des Ortes, z. B. Redlands.

    State or Province

    Der vollständige Name des Bundeslandes oder des Kantons, z. B. Kalifornien.

    Country Code

    Die Länderabkürzung, z. B. US.

    Validity

    Die Gültigkeitsdauer des Zertifikats in Tagen, z. B. 365

    Alternativer Name des Antragstellers

    Der alternative Antragstellername (Subject Alternative Name, SAN) ist ein optionaler Parameter, der den im SSL-Zertifikat angegebenen allgemeinen Namen definiert. Wenn kein SAN definiert ist, kann der Zugriff auf eine Website (ohne SSL-Zertifikatfehler) nur über den allgemeinen Namen in der URL erfolgen. Mit SAN ermöglicht ein SSL-Zertifikat die Verwendung verschiedener URLs, um auf dieselbe Website zuzugreifen. Mit den URLs https://www.esri.com, https://esri und https://10.60.1.16 kann beispielsweise auf dieselbe Site zugegriffen werden, wenn das SSL-Zertifikat die folgenden Parameterwerte verwendet:

    CN=www.esri.com

    SAN=DNS:esri, IP:10.60.1.16

  5. Klicken Sie auf Generate, um das Zertifikat zu erstellen.

Konfigurieren eines ArcGIS- Servers für die Verwendung des SSL-Zertifikats

So geben Sie das SSL-Zertifikat an, das vom ArcGIS-Server verwendet werden soll:

Schritte:
  1. Melden Sie sich beim ArcGIS Server Administrator Directory unter http://gisserver.domain.com:6080/arcgis/admin an.
  2. Navigieren Sie zu machines > [Computername].
  3. Klicken Sie auf edit.
  4. Geben Sie den Namen des zu verwendenden SSL-Zertifikats in das Feld Web server SSL Certificate ein.
  5. Klicken Sie auf Save Edits, um die Änderungen anzuwenden.
  6. Überprüfen Sie die Eigenschaft Web server SSL Certificate auf der aktuellen Seite, um sicherzustellen, dass das gewünschte SSL-Zertifikat verwendet wird.

Konfigurieren der GIS-Server in Ihrer Bereitstellung

Wenn Sie ArcGIS-Server auf mehreren Computern bereitgestellt haben, müssen Sie für jeden GIS-Server in Ihrer Site ein neues selbstsigniertes Zertifikat erstellen und diesen GIS-Server für die Verwendung dieses Zertifikats konfigurieren.

Aktivieren von SSL für Ihre Site

Schritte:
  1. Melden Sie sich beim ArcGIS Server Administrator Directory unter http://gisserver.domain.com:6080/arcgis/admin an.
  2. Navigieren Sie zu security > config > update.
  3. Wählen Sie für den Parameter Protocol die Option HTTP and HTTPS, und klicken Sie auf Update. Dadurch wird die ArcGIS-Server-Site automatisch neu gestartet.
  4. Überprüfen Sie, ob Sie auf die https://gisserver.domain.com:6443/arcgis/admin zugreifen können, nachdem die Site neu gestartet wurde. Wenn Sie keine Antwort von dieser URL erhalten, konnte ArcGIS-Server das angegebene SSL-Zertifikat nicht verwenden. Überprüfen Sie das SSL-Zertifikat, und konfigurieren Sie ArcGIS-Server für die Verwendung eines neuen oder anderen SSL-Zertifikats.
  5. Wenn Sie auf die URL https://gisserver.domain.com:6443/arcgis/admin zugreifen können, navigieren Sie zu security > config > update.
  6. Wählen Sie für den Parameter Protocol die Option HTTPS Only, und klicken Sie auf Update.
HinweisHinweis:

Es dauert eine Minute, bis Web Adaptor Änderungen am Kommunikationsprotokoll der Site erkennt.

VeraltetVeraltet:

In früheren Versionen mussten Sie ArcGIS Web Adaptor nach dem Upgrade des Kommunikationsprotokolls von ArcGIS-Server neu konfigurieren. In Version 10.2.2 ist dieses Vorgehen nicht mehr erforderlich.

Zugreifen auf die Site mit SSL

Nach der Konfiguration von SSL wird der Port 6443 von ArcGIS for Server auf HTTPS-Anforderungen überwacht. Verwenden Sie die unten genannten URLs für den sicheren Zugriff auf ArcGIS for Server:

ArcGIS Server Manager

https://gisserver.domain.com:6443/arcgis/manager

ArcGIS Server Services Directory

https://gisserver.domain.com:6443/arcgis/rest/services

HinweisHinweis:

Wenn Sie ArcGIS-Server bei aktiviertem SSL umbenennen, können Sie weiterhin über eine SSL-Verbindung auf ArcGIS-Server zugreifen. Sie müssen jedoch ein neues SSL-Zertifikat generieren und ArcGIS-Server für dessen Verwendung entsprechend konfigurieren.

Importieren des Zertifikats in den OS-Zertifikatspeicher

Damit ArcGIS-Services wie der PrintingTools-Service mit einem SSL-aktivierten ArcGIS-Server verwendet werden kann, muss das SSL-Zertifikat des Servers als vertrauenswürdiges Zertifikat installiert sein:

Schritte:
  1. Melden Sie sich beim ArcGIS Server Administrator Directory an.
  2. Navigieren Sie zu machines > [Computername] > sslcertificates.
  3. Klicken Sie auf das SSL-Zertifikat, das von ArcGIS-Server verwendet wird, und klicken Sie auf export. Speichern Sie die Datei in einem Verzeichnis auf dem Computer.
  4. Öffnen Sie Zertifikatverwaltung. Klicken Sie dazu auf die Schaltfläche Start, geben Sie im Suchfeld certmgr.msc ein, und drücken Sie die EINGABETASTE.​
  5. Klicken Sie im Fenster "Zertifikatverwaltung" auf Vertrauenswürdige Stammzertifizierungsstelle, und auf Zertifikate.
  6. Klicken Sie in der Menüleiste oben auf Aktion, und wählen Sie Alle Aufgaben > Importieren aus.
  7. Klicken Sie im Dialogfeld Zertifikatimport-Assistent auf Weiter, und folgen Sie den Anweisungen des Assistenten, um das Zertifikat zu importieren.
  8. Wiederholen Sie die oben genannten Schritte für jeden GIS-Server der Site.
Copyright © 1995-2014 Esri. All rights reserved.
5/16/2014