Aktivieren von SSL mit einem neuen Zertifikat einer Zertifizierungsstelle

In diesem Lernprogramm wird erläutert, wie Sie SSL für ArcGIS for Server mit einem Zertifikat aktivieren, das von einer Zertifizierungsstelle signiert wurde. Folgende Schritte sind zum Aktivieren von SSL mit dem Zertifikat einer Zertifizierungsstelle erforderlich:

Erstellen eines neuen selbstsignierten Zertifikats

Schritte:
  1. Melden Sie sich beim ArcGIS Server Administrator Directory an: http://gisserver.domain.com:6080/arcgis/admin.
  2. Navigieren Sie zu machines > [Computername] > sslcertificates.
  3. Klicken Sie auf generate.
  4. Geben Sie Werte für die Parameter auf dieser Seite an:

    Option

    Beschreibung

    Alias

    Ein eindeutiger und aussagekräftiger Name für das Zertifikat.

    Key Algorithm

    Wählen Sie RSA (Standard) oder DSA aus.

    Key Size

    Hiermit wird die Größe der kryptografischen Schlüssel in Bits angegeben, die für die Erstellung des Zertifikats generiert werden. Je größer der Schlüssel, umso schwerer lässt sich die Verschlüsselung umgehen. Jedoch erhöht sich mit der Schlüsselgröße auch die Entschlüsselungsdauer. Bei DSA kann die Schlüsselgröße zwischen 512 und 1024 liegen. Bei RSA liegt die empfohlene Größe bei 2048 oder mehr.

    Signature Algorithm

    Verwenden Sie den Standardwert (SHA1withRSA). Wenn für Ihre Organisation bestimmte Sicherheitsbeschränkungen gelten, kann einer der folgenden Algorithmen für DSA verwendet werden: SHA256withRSA, SHA384withRSA, SHA512withRSA, SHA1withDSA.

    Common Name

    Verwenden Sie den Domänennamen des Servernamens als allgemeinen Namen.

    Wenn auf Ihren Server über das Internet, d. h. über die URL https://www.gisserver.com:6443/arcgis/ zugegriffen wird, verwenden Sie www.gisserver.com als allgemeinen Namen.

    Wenn auf Ihren Server nur über das lokale Netzwerk (Local Area Network, LAN), d. h. über die URL https://gisserver.domain.com:6443/arcgis zugegriffen wird, verwenden Sie gisserver als allgemeinen Namen.

    Organizational Unit

    Der Name der organisatorischen Einheit, z. B. GIS-Abteilung.

    Organisation=

    Der Name der Organisation, z. B. Esri.

    City or Locality

    Der Name des Ortes, z. B. Redlands.

    State or Province

    Der vollständige Name des Bundeslandes oder des Kantons, z. B. Kalifornien.

    Country Code

    Die Länderabkürzung, z. B. US.

    Validity

    Die Gültigkeitsdauer des Zertifikats in Tagen, z. B. 365

    Alternativer Name des Antragstellers

    Der alternative Antragstellername (Subject Alternative Name, SAN) ist ein optionaler Parameter, der den im SSL-Zertifikat angegebenen allgemeinen Namen definiert. Wenn kein SAN definiert ist, kann der Zugriff auf eine Website (ohne SSL-Zertifikatfehler) nur über den allgemeinen Namen in der URL erfolgen. Mit SAN ermöglicht ein SSL-Zertifikat die Verwendung verschiedener URLs, um auf dieselbe Website zuzugreifen. Mit den URLs https://www.esri.com, https://esri und https://10.60.1.16 kann beispielsweise auf dieselbe Site zugegriffen werden, wenn das SSL-Zertifikat die folgenden Parameterwerte verwendet:

    CN=www.esri.com

    SAN=DNS:esri, IP:10.60.1.16

  5. Klicken Sie auf Generate, um das Zertifikat zu erstellen.

Anfordern der Signatur für dieses Zertifikat bei einer Zertifizierungsstelle

Damit Ihr Zertifikat von Webbrowsern als vertrauenswürdig eingestuft wird, muss es von einer bekannten Zertifizierungsstelle wie Verisign oder Thawte geprüft und gegensigniert werden.

Schritte:
  1. Öffnen Sie das selbstsignierte Zertifikat, das Sie im vorherigen Abschnitt erstellt haben, und klicken Sie auf generateCSR. Kopieren Sie die Inhalte in eine Datei (in der Regel mit der Erweiterung *.csr).
  2. Übermitteln Sie die Zertifikatanforderung an eine Zertifizierungsstelle Ihrer Wahl. Sie können ein DER (Distinguished Encoding Rules)- oder Base64-verschlüsseltes Zertifikat abrufen. Wenn die Zertifizierungsstelle den Webservertyp anfordert, für den das Zertifikat bestimmt ist, geben Sie Weitere\Unbekannt oder Java-Anwendungsserver an. Nach dem Überprüfen Ihrer Identität erhalten Sie eine Datei mit der Erweiterung *.crt oder *.cer.
  3. Speichern Sie das signierte Zertifikat, das Sie von der Zertifizierungsstelle erhalten haben, auf Ihrem Computer. Zusätzlich zum signierten Zertifikat stellt die Zertifizierungsstelle auch ein Stammzertifikat aus. Speichern Sie das Stammzertifikat ebenfalls auf dem Computer.
  4. Melden Sie sich beim ArcGIS Server Administrator Directory an: http://gisserver.domain.com:6080/arcgis/admin.
  5. Klicken Sie auf machines > [Computername] > sslcertificates > importRootOrIntermediate, um das von der Zertifizierungsstelle bereitgestellte Stammzertifikat zu importieren. Wurden sonstige zusätzliche Zwischenzertifikate ausgestellt, importieren Sie diese ebenfalls.
  6. Navigieren Sie zu machines > [Computername] > sslcertificates.
  7. Klicken Sie auf den Namen des selbstsignierten Zertifikats, das Sie an die Zertifizierungsstelle übermittelt haben.
  8. Klicken Sie auf importSignedCertificate, und navigieren Sie zu dem Speicherort des signierten Zertifikats, das Sie von der Zertifizierungsstelle erhalten haben.
  9. Klicken Sie auf Senden. Dadurch wird das selbstsignierte Zertifikat, das Sie im vorangegangenen Abschnitt erstellt haben, durch das von der Zertifizierungsstelle signierte Zertifikat ersetzt.

Konfigurieren von ArcGIS for Server für die Verwendung des Zertifikats einer Zertifizierungsstelle

Schritte:
  1. Melden Sie sich beim ArcGIS Server Administrator Directory an: http://gisserver.domain.com:6080/arcgis/admin.
  2. Navigieren Sie zu machines > [Computername].
  3. Klicken Sie auf edit.
  4. Geben Sie den Namen des signierten Zertifikats in das Feld Web server SSL Certificate ein. Der angegebene Name sollte dem Aliasnamen des selbstsignierten Zertifikats entsprechen, das durch das von der Zertifizierungsstelle signierte Zertifikat im vorangegangenen Abschnitt ersetzt wurde.
  5. Klicken Sie auf Änderungen speichern, um die Änderungen anzuwenden.
  6. Überprüfen Sie die Eigenschaft Web server SSL Certificate auf der aktuellen Seite, um sicherzustellen, dass das gewünschte SSL-Zertifikat verwendet wird.

Konfigurieren der GIS-Server in Ihrer Bereitstellung

Wenn Sie ArcGIS for Server auf mehreren Computern bereitgestellt haben, müssen Sie für jeden GIS-Server in Ihrer Site ein Zertifikat bei der Zertifizierungsstelle anfordern und konfigurieren.

Importieren des Stammzertifikats in den OS-Zertifikatspeicher

Schritte:
  1. Öffnen Sie auf dem Host-Computer für ArcGIS for Server das Skript init_user_param.sh im Verzeichnis <ArcGIS for Server-Installationsverzeichnis>/arcgis/server/usr in einem Texteditor.
  2. Suchen Sie die Zeile export CA_ROOT_CERTIFICATE_DIR=<Location_to_CA_Root_Certificate>, und geben Sie den Speicherort an, in dem alle Stammzertifikate im System gespeichert sind. Beachten Sie, dass das Konto, das für die Installation von ArcGIS for Server verwendet wurde, auf das angegebene Verzeichnis zugreifen können muss. Unkommentieren Sie die Zeilen durch entfernen des Nummernzeichens [#].
  3. Speichern und schließen Sie das Skript init_user_param.sh.
  4. Wiederholen Sie die Schritte 1 bis 3 für jeden GIS-Server der Site.
  5. Starten Sie ArcGIS for Server neu. Führen Sie hierfür das Skript startserver.sh auf den einzelnen GIS-Servern in Ihrer Site aus.

Aktivieren von SSL für Ihre Site

Schritte:
  1. Melden Sie sich beim ArcGIS Server Administrator Directory unter http://gisserver.domain.com:6080/arcgis/admin an.
  2. Navigieren Sie zu security > config > update.
  3. Wählen Sie für den Parameter Protocol die Option HTTP and HTTPS, und klicken Sie auf Update. Dadurch wird die ArcGIS-Server-Site automatisch neu gestartet.
  4. Überprüfen Sie, ob Sie auf die https://gisserver.domain.com:6443/arcgis/admin zugreifen können, nachdem die Site neu gestartet wurde. Wenn Sie keine Antwort von dieser URL erhalten, konnte ArcGIS-Server das angegebene SSL-Zertifikat nicht verwenden. Überprüfen Sie das SSL-Zertifikat, und konfigurieren Sie ArcGIS-Server für die Verwendung eines neuen oder anderen SSL-Zertifikats.
  5. Wenn Sie auf die URL https://gisserver.domain.com:6443/arcgis/admin zugreifen können, navigieren Sie zu security > config > update.
  6. Wählen Sie für den Parameter Protocol die Option HTTPS Only, und klicken Sie auf Update.
HinweisHinweis:

Es dauert eine Minute, bis Web Adaptor Änderungen am Kommunikationsprotokoll der Site erkennt.

VeraltetVeraltet:

In früheren Versionen mussten Sie ArcGIS Web Adaptor nach dem Upgrade des Kommunikationsprotokolls von ArcGIS-Server neu konfigurieren. In Version 10.2.2 ist dieses Vorgehen nicht mehr erforderlich.

Zugreifen auf die Site mit SSL

Nach der Konfiguration von SSL wird der Port 6443 von ArcGIS for Server auf HTTPS-Anforderungen überwacht. Verwenden Sie die unten genannten URLs für den sicheren Zugriff auf ArcGIS for Server:

ArcGIS Server Manager

https://gisserver.domain.com:6443/arcgis/manager

ArcGIS Server Services Directory

https://gisserver.domain.com:6443/arcgis/rest/services

HinweisHinweis:

Wenn Sie ArcGIS-Server bei aktiviertem SSL umbenennen, können Sie weiterhin über eine SSL-Verbindung auf ArcGIS-Server zugreifen. Sie müssen jedoch ein neues SSL-Zertifikat generieren und ArcGIS-Server für dessen Verwendung entsprechend konfigurieren.

Copyright © 1995-2014 Esri. All rights reserved.
6/13/2014