Включение SSL в ArcGIS for Server при доступе через ArcGIS Web Adaptor

Когда ArcGIS Web Adaptor настроен на перенаправление запросов на сайт ArcGIS Server, необходимо включить SSL на веб-сервере, где находится Web Adaptor, а также включить SSL на каждом компьютере с ГИС-сервером, который располагается на сайте ArcGIS for Server. Чтобы начать, следуйте приведенным ниже шагам.

Создание нового самоподписанного сертификата

Шаги:
  1. Войдите в ArcGIS Server Administrator Directory: http://gisserver.domain.com:6080/arcgis/admin.
  2. Перейдите в меню machines > [имя компьютера] > sslcertificates.
  3. Щёлкните создать (generate)
  4. Введите значения параметров на этой странице.

    Опция

    Описание

    Псевдоним

    Уникальное название, которое позволяет легко идентифицировать сертификат.

    Алгоритм ключа

    Используйте RSA (по умолчанию) или DSA.

    Размер ключа

    Задает размер в битах для формирования криптографических ключей, которые используются для создания сертификата. Чем больше размер ключа, тем труднее взломать шифр, однако при этом возрастает время расшифровки данных. Для DSA размер ключа составляет от 512 до 1024. Для RSA рекомендуется использовать размер 2048 или больше.

    Алгоритм подписи

    Используйте алгоритм по умолчанию (SHA1withRSA). Если ваша организация имеет особые параметры безопасности, для DSA можно использовать один из следующих алгоритмов: SHA256withRSA, SHA384withRSA, SHA512withRSA, SHA1withDSA.

    Обычное имя (Common Name)

    В качестве обычного имени используйте имя домена сервера.

    Если доступ к серверу будет осуществляться через Интернет по URL-адресу https://www.gisserver.com:6443/arcgis/, используйте www.gisserver.com в качестве обычного имени.

    Если доступ к серверу будет осуществляться только по локальной сети по URL-адресу https://gisserver.domain.com:6443/arcgis, используйте gisserver в качестве обычного имени.

    Организационное подразделение (Organizational Unit)

    Имя подразделения организации, например, Отдел ГИС.

    Организация

    Имя организации, например, Esri.

    Город (City or Locality)

    Название города нахождения, например, Редландс.

    Штат или область

    Полное название штата или области, например, Калифорния.

    Код страны

    Код страны, например, US.

    Срок действия (Validity)

    Общее время в днях, в течение которого будет действителен этот сертификат, например, 365.

    Альтернативное имя субъекта (Subject Alternative Name)

    Альтернативное имя субъекта (SAN) – это дополнительный параметр, который задает альтернативные имена для общего имени (CN), указанного в сертификате SSL. Если SAN не задано, доступ к веб-сайту (без ошибок сертификата SSL) можно получить только по общему имени, указанному в URL-адресе. С помощью SAN сертификат SSL позволяет использовать различные URL-адреса для доступа к одному и тому же веб-сайту. Например, URL-адреса https://www.esri.com, https://esri и https://10.60.1.16 могут использоваться для доступа к одному и тому же сайту, если сертификат SSL создан с применением следующих значений параметра:

    CN=www.esri.com

    SAN=DNS:esri, IP:10.60.1.16

  5. Щелкните Создать (Generate), чтобы создать сертификат.

Обращение в центр сертификации с запросом на подпись сертификата

Если ArcGIS Web Adaptor будет единственным шлюзом на ваш сайт, а политика IT-безопасности вашей организации разрешает использование самоподписанных сертификатов, вы можете пропустить этот раздел. Однако если пользователи случайно пропускают Web Adaptor и подключаются непосредственно к ArcGIS Server или в IT-политике не разрешено использование самоподписанных сертификатов, рекомендуется запросить подписывание вашего сертификата в CA, выполнив следующие шаги.

Шаги:
  1. Откройте самозаверяющийся сертификат, созданный в предыдущем разделе, и щелкните generateCSR. Скопируйте содержимое в файл (обычно с расширением CSR).
  2. Отправьте CSR-файл в выбранный центр сертификации. Вы можете получить сертификаты с кодировкой Distinguished Encoding Rules (DER) или Base64. Если CA запрашивает тип веб-сервера, для которого готовится сертификат, укажите Other\Unknown или Java Application Server. После вашей идентификации вам будет отправлен CRT- или CER-файл.
  3. Сохраните подписанный сертификат, полученный из центра сертификации, на компьютере. Помимо подписанного сертификата центр сертификации также издает корневой сертификат. Сохраните корневой сертификат на компьютере.
  4. Выполните вход в ArcGIS Server Administrator Directory: http://gisserver.domain.com:6080/arcgis/admin.
  5. Щелкните на machines > [имя компьютера] > sslcertificates > importRootOrIntermediate для импорта корневого сертификата, выданного центром сертификации. Если центром сертификации выпущены дополнительные промежуточные сертификаты, импортируйте их также.
  6. Перейдите в меню machines > [имя компьютера] > sslcertificates.
  7. Выберите имя самозаверяющегося сертификата, направленного в центр сертификации.
  8. Щелкните на importSignedCertificate и перейдите к местоположению, где находится сохраненный подписанный сертификат, полученный из центра сертификации.
  9. Щелкните Подтвердить(Submit). Он заменит самозаверяющий сертификат, который вы создали ранее, на сертификат, подписанный центром сертификации.

Настройка использования SSL-сертификата в ArcGIS Server

Чтобы указать SSL-сертификат, который будет использоваться в ArcGIS Server, выполните следующие действия.

Шаги:
  1. Войдите в ArcGIS Server Administrator Directory по адресу http://gisserver.domain.com:6080/arcgis/admin.
  2. Перейдите к компьютеры (machines) > [machine name].
  3. Выберите Редактировать (Edit).
  4. Введите имя SSL-сертификата, который будет использоваться, в поле SSL-сертификат веб-сервера (Web server SSL Certificate).
  5. Нажмите кнопку Сохранить изменения (Save Edits), чтобы применить изменения.
  6. На текущей странице проверьте значение свойства SSL-сертификат веб-сервера (Web server SSL Certificate), где для SSL должен быть указан нужный SSL-сертификат.

Настройка всех ГИС-серверов в развернутой системе

Если в развертывании ArcGIS Server имеется несколько компьютеров, необходимо настроить каждый ГИС-сервер на работу с SSL-сертификатом. Повторите указанные выше шаги, чтобы настроить использование сертификата на каждом из ваших ГИС-серверов.

Включение SSL для сайта

Шаги:
  1. Войдите в ArcGIS Server Administrator Directory по адресу http://gisserver.domain.com:6080/arcgis/admin.
  2. Перейдите в меню security > config > update.
  3. Для параметра Протокол (Protocol) выберите HTTP и HTTPS (HTTP and HTTPS) и щелкните Обновить (Update). Сайт ArcGIS Server будет перезапущен автоматически.
  4. После перезапуска сайта проверьте, что у вас имеется доступ к URL-адресу https://gisserver.domain.com:6443/arcgis/admin. Если вы не получаете ответа с этого URL-адреса, ArcGIS Server не может использовать указанный SSL-сертификат. Проверьте SSL-сертификат и настройте ArcGIS Server на использование нового или другого сертификата.
  5. Если доступ по URL-адресу https://gisserver.domain.com:6443/arcgis/admin имеется, перейдите к Безопасность (security) > Настройка (config) > Обновить (update).
  6. Для параметра Протокол (Protocol) выберите опцию Только HTTPS (HTTPS Only) и щелкните Обновить (Update). ArcGIS for Server будет перезапущен.
  7. После перезапуска сервера проверьте, что ArcGIS Server доступен по URL-адресу HTTPS, например, https://gisserver.domain.com:6443/arcgis/rest/services.

Настройка SSL на Web Adaptor

Включите SSL на веб-сервере, где установлен Web Adaptor. Полные инструкции можно найти в документации к вашему веб-серверу. Подробнее о SSL см. в разделе Включение SSL на веб-сервере.

Прежние версииПрежние версии:

В предыдущих версиях требовалась перенастройка ArcGIS Web Adaptor после обновления протокола ArcGIS Server. В 10.2.2 это не требуется.

Доступ к сайту с помощью SSL

После настройки SSL вы можете безопасно производить доступ непосредственно на ArcGIS Server через HTTPS, используя порт 6443 или URL-адрес Web Adaptor. URL-адреса должны быть в следующем формате:

ArcGIS Server Manager

Доступ к Manager через ГИС-сервер: https://gisserver.domain.com:6443/arcgis/manager.

Доступ к Manager через Web Adaptor (только если включен административный доступ): https://webadaptor.domain.com/arcgis/manager.

ArcGIS Server Services Directory

Доступ к Services Directory через ГИС-сервер: https://gisserver.domain.com:6443/arcgis/rest/services.

Доступ к Services Directory через Web Adaptor: https://webadaptor.domain.com/arcgis/rest/services.

ПримечаниеПримечание:

Если переименовать ArcGIS Server при включенном протоколе SSL, доступ к ArcGIS Server с использованием SSL сохранится, однако необходимо создать новый SSL-сертификат и настроить ArcGIS Server на его использование.

Copyright © 1995-2014 Esri. All rights reserved.
5/10/2014