Включение SSL с помощью нового сертификата, подписанного центром сертификации
В этом руководстве показано, как включить SSL для ArcGIS Server с помощью сертификата, подписанного центром сертификации. Для включения SSL с помощью сертификата, подписанного центром сертификации, нужно выполнить следующие действия.
- Создание нового самозаверяющего сертификата
- Обращение в центр сертификации с запросом на подпись сертификата
- Импорт корневого сертификата центра сертификации в хранилище сертификатов OS
- Задание в ArcGIS Server использования данного сертификата
- Настройка всех ГИС-серверов в развертывании
- Включение SSL для сайта
- Доступ к сайту с помощью SSL
Создание нового самозаверяющего сертификата
- Выполните вход в ArcGIS Server Administrator Directory: http://[имя компьютера]:6080/arcgis/admin.
- Перейдите в меню machines > [имя компьютера] > sslcertificates.
- Щёлкните создать(generate)
- Введите значения параметров на этой странице.
Опции
Описание
Псевдоним
Уникальное название, которое позволяет легко идентифицировать сертификат.
Алгоритм ключа (Key Algorithm)
Используйте RSA (по умолчанию) или DSA.
Размер ключа (Key Size)
Задает размер в битах для формирования криптографических ключей, которые используются для создания сертификата. Чем больше размер ключа, тем сложнее взломать шифрование. Однако с увеличением размера ключа растет и время, необходимое на дешифровку зашифрованных данных. Для алгоритма DSA ключ может иметь размер от 512 до 1024 бит. Для алгоритма RSA рекомендуется использовать размер 2048 бит и выше.
Алгоритм подписи (Signature Algorithm)
Используйте алгоритм по умолчанию (SHA1withRSA). Если в организации имеются особые ограничения, связанные с безопасностью, то можно использовать один из следующих алгоритмов: SHA256withRSA, SHA384withRSA, SHA512withRSA и SHA1withDSA для DSA.
Обычное имя (Common Name)
В качестве обычного имени используйте имя домена сервера.
Если доступ к серверу будет осуществляться через Интернет по URL-адресу https://www.myarcgis.com:6443/arcgis/, в качестве обычного имени используйте www.myarcgis.com.
Если доступ к серверу будет осуществляться только по локальной сети по URL-адресу https://hostnameимя_сервера:6443/arcgis/, в качестве обычного имени используйте hostnameимя_сервера.
Организационное подразделение (Organizational Unit)
Название организационного подразделения. Например: Отдел ГИС
Организация
Название вашей организации. Например: Esri
Город (City or Locality)
Название города нахождения. Например: Ярославль
Штат или область
Полное название области или края. Например: Московская область
Код страны
Аббревиатуры для страны. Например: RU
Срок действия (Validity)
Общее время в днях, в течение которого будет действителен этот сертификат. Например: 365.
- Нажмите кнопку Отправить (Submit), чтобы сформировать сертификат.
Обращение в центр сертификации с запросом на подпись сертификата
Чтобы веб-браузеры считали сертификат доверенным, он должен быть проверен и получить вторую подпись от известного центра сертификации, такого как Verisign или Thawte.
- Откройте сертификат, созданный в предыдущем разделе, и щелкните generateCSR. Скопируйте содержимое в файл (обычно с расширением CSR).
- Отправьте CSR-файл в выбранный центр сертификации. После вашей идентификации вам будет отправлен CRT- или CER-файл.
- Сохраните подписанный сертификат, полученный из центра сертификации, на компьютере. Помимо подписанного сертификата центр сертификации также издает корневой сертификат центра сертификации. Сохраните корневой сертификат на компьютере.
- Выполните вход в ArcGIS Server Administrator Directory: http://[имя компьютера]:6080/arcgis/admin.
- Выберите machines > [имя компьютера] > sslcertificates > importRootOrIntermediate, чтобы импортировать корневой сертификат центра сертификации. Если центр сертификации издал дополнительные промежуточные сертификаты, импортируйте их тоже.
- Перейдите в меню machines > [имя компьютера] > sslcertificates.
- Выберите имя сертификата, направленного в центр сертификации.
- Щелкните importSignedCertificate.
- Нажмите кнопку Обзор (Browse) и перейдите в папку, где находится сохраненный подписанный сертификат, полученный из центра сертификации.
- Нажмите кнопку Отправить (Submit), чтобы импортировать этот сертификат. Он заменит самозаверяющий сертификат на сертификат, подписанный центром сертификации.
Импорт корневого сертификата центра сертификации в хранилище сертификатов OS
- На машине с ArcGIS Server, откройте Certificate Manager. Вы можете выполнить это нажав кнопку Пуск (Start), введя certmgr.msc в поле Поиска и нажав ENTER.
- В диалоговом окне Certificate Manager, выберите соответствующую папку под таблицей содержания Сертификаты (Certificates).
- После выбора данной папки, щелкните меню Действие (Action), затем выберите Все задачи (All Tasks) > Импортировать (Import).
- В диалоговом окне Мастер импорта сертификатов (Certificate Import Wizard) щелкните Далее (Next), а затем следуйте инструкциям мастера для импорта корневого сертификата центра сертификации.
- Повторите шаги 1-4 для каждой машины с ГИС-сервером на вашем сайте.
- Перезапустите каждый ГИС-сервер на вашем сайте.
Настройка использования SSL-сертификата в ArcGIS Server
Чтобы указать SSL-сертификат, который будет использоваться в ArcGIS Server, выполните следующие действия.
- Выполните вход в ArcGIS Server Administrator Directory: http://[имя компьютера]:6080/arcgis/admin.
- Выберите machines > [имя_компьютера].
- Выберите Редактировать (Edit).
- Введите имя SSL-сертификата, который будет использоваться, в поле SSL-сертификат веб-сервера (Web server SSL Certificate).
- Нажмите кнопку Сохранить изменения (Save Edits), чтобы применить изменения.
- На текущей странице проверьте значение свойства SSL-сертификат веб-сервера (Web server SSL Certificate), где для SSL должен быть указан нужный SSL-сертификат.
Настройка всех ГИС-серверов в развертывании
Если в развертывании ArcGIS Server имеется несколько компьютеров, необходимо получить и настроить подписанный центром сертификации сертификат для каждого ГИС-сервера, который используется на сайте.
Включение SSL для сайта
- Выполните вход в ArcGIS Server Administrator Directory: http://[имя компьютера]:6080/arcgis/admin.
- Перейдите в меню security > config > update.
- Для параметра Протокол (Protocol) выберите опцию Только HTTPS (HTTPS Only) и нажмите кнопку Обновить (Update). В среде разработки, вы также можете использовать вариант HTTP и HTTPS. Если выбран этот параметр, то пользователи могут подключаться к ArcGIS for Server посредством или протокола HTTP, или протокола HTTPS.Примечание:
При изменении параметра Протокол (Protocol) сайт ArcGIS for Server будет автоматически перезапущен.
Доступ к сайту с помощью SSL
После настройки SSL ArcGIS for Server прослушивает порт 6443 на предмет HTTPS-запросов. Для безопасного доступа к ArcGIS for Server используйте следующие URL-адреса:
Менеджер ArcGIS Server Manager | https://[имя_сервера]:6443/arcgis/manager |
ArcGIS Server Services Directory | https://[имя_сервера]:6443/arcgis/rest/services |
Если переименовать ArcGIS for Server при включенном протоколе SSL, доступ к ArcGIS for Server с использованием SSL сохранится. Однако потребуется создать новый сертификат SSL и указать его использование в ArcGIS for Server.