Импорт сертификата на портал

HTTPS – это средство шифрования данных в и из веб-сервера. HTTPS также предоставляет возможность клиентскому приложению подтверждать подлинность веб-сервера. При использовании HTTPS каждый веб-сервер, где включен HTTPS, должен отсылать сертификат клиентам. Сертификат содержит утверждение подлинности (Я есть gis.mycity.gov) и публичный ключ, который клиент может применять для отправки зашифрованной информации на этот веб-сервер.

Пользователи Portal for ArcGIS часто передают информацию, которая требует шифрования; поэтому, на портале всегда включен HTTPS, и HTTPS также требуется для вашего веб-адаптера (Web Adaptor). Ваш веб-адаптер настроен для работы с веб-сервером, у которого будет включен HTTPS.

Строго рекомендуется, чтобы сертификат веб-сервера был выпущен Центром сертификации (CA). Портал действует с самоподписанным сертификатом. Самоподписанный сертификат означает, что клиент не может проверить подлинность сервера, но может оправить туда зашифрованные данные. Замена самоподписанного сертификата сертификатом, подписанным центром сертификации, усилит безопасность вашего развертывания.

Существуют два способа использовать сертификат в портале. Первый способ заключается в создании нового сертификата путем генерации запроса на подпись сертификата (CSR), его подписания Центром сертификации (CA) и его импорта на портал. Второй способ – импортировать имеющийся сертификат, который уже был подписан для машины, на которой установлен портал. Так как большинство Центров сертификации взимают плату за подписание сертификатов, пользователи, имеющие сертификаты на одну и ту же машину, могут предпочесть импортировать существующий сертификат, вместо создания новых. Ниже представлены шаги выполнения обоих способов.

Во всех шагах используется инструмент, называемый ключевым для управления сертификатами. Команду keytool можно найти в <Portal for ArcGIS installation location>\arcgis\portal\framework\runtime\jre\bin. Ваши сертификаты будут все сохранены в файле с названием portal.ks, который находится в <Portal for ArcGIS installation location>\arcgis\portal\etc\ssl.

Создание нового сертификата

Эти шаги помогут в генерации запроса на подпись сертификата (CSR), его подписании, импорте корневого сертификата организации и импорте подписанного сертификата.

Создание CSR и подписывание его

Шаги:
  1. Откройте окно командной строки, используя опцию Запустить от имени администратора (Run as administrator).
  2. Из командной строки, перейдите в каталог <Portal for ArcGIS installation location>\framework\runtime\jre\bin.
  3. Запустите следующую команду:

    keytool –genkey –alias portalcert –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks -keyalg RSA

    ПримечаниеПримечание:

    Вы можете ввести собственное значение для параметра -alias; portalcert приведен в качестве примера. Выбранный вами псевдоним очень важен, поскольку вы воспользуетесь им позже при создании CSR и импорте подписанного сертификата на портал.

    1. В появившемся окне для keystore-пароль введите portal.secret. Нажмите Enter.
    2. При запросе имени и фамилии введите полное доменное имя вашего сервера (например, portal.mycity.gov). Нажмите Enter.
    3. Введите имя вашего подразделения организации и информацию о нем для пользователей сайта. Нажмите Enter.
    4. Укажите имя организации. Нажмите Enter.
    5. Укажите название города или другой местности. Нажмите Enter.
    6. Введите имя штата или провинции. Нажмите Enter.
    7. Введите двухбуквенный код государства вашей организации. Нажмите Enter.
    8. Проверьте указанную вами информацию. Введите yes и нажмите Enter.
    9. Дополнительно выберите пароль keystore для сертификата. Если вы собираетесь использовать пароль keystore по умолчанию – portal.secret, ничего не вводите. Нажмите Enter.
  4. Запустите следующую команду:

    keytool –certreq –alias portalcert –file <Portal for ArcGIS installation location>/etc/ssl/portalcert.csr –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks

  5. Введите пароль keystore. При использовании указанного выше пароля по умолчанию пароль будет portal.secret. Нажмите Enter.

В директории <Portal for ArcGIS installation location>/etc/ssl будет создан файл с именем portalcert.csr. Отправьте этот файл в Центр сертификации для подписания. Поместите файл, который они посылают, обратно в каталог <Portal for ArcGIS installation location>\etc\ssl.

Импорт корневого сертификата организации

Шаги:
  1. Откройте окно командной строки, используя опцию Запустить от имени администратора (Run as administrator).
  2. Из командной строки, перейдите в каталог <Portal for ArcGIS installation location>\framework\runtime\jre\bin.
  3. Импортируйте корневой сертификат вашей организации на портал запуском следующей команды:

    keytool –importcert –alias orgRootCert –file <file path to root certificate>/orgRootCert.cer –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks

    Свяжитесь со своим системным администратором, чтобы узнать, как получить корневой сертификат.

    ПримечаниеПримечание:

    Вы можете ввести собственное значение для параметра -alias; orgRootCert приведен в качестве примера.

  4. Введите пароль keystore. При использовании указанного выше пароля по умолчанию пароль будет portal.secret. Нажмите Enter.
  5. При запросе на подтверждение сертификата введите yes и нажмите Enter.

Импорт подписанного сертификата

Шаги:
  1. Откройте окно командной строки, используя опцию Запустить от имени администратора (Run as administrator).
  2. Из командной строки, перейдите в каталог <Portal for ArcGIS installation location>\framework\runtime\jre\bin.
  3. Импортируйте подписанный сертификат, полученный из органа сертификации, запуском следующей команды:

    keytool –importcert –alias portalcert –file <Portal for ArcGIS installation location>/etc/ssl/signedCert.cer –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks

  4. Введите пароль keystore. При использовании указанного выше пароля по умолчанию, пароль будет portal.secret. Нажмите Enter.
  5. В текстовом редакторе откройте файл <Portal for ArcGIS installation location>\framework\runtime\tomcat\conf\server.xml.
  6. Найдите свойство keystorePass="portal.secret" и добавьте keyAlias="portalcert" в конце свойства. Например:
    keystorePass="portal.secret" keyAlias="portalcert"
  7. Сохраните и закройте файл.
  8. Перезапустите Portal for ArcGIS для применения изменений. За разъяснениями обратитесь к разделу Остановка и запуск портала.

Импортирование имеющегося сертификата

Следующие шаги помогут импортировать имеющийся сертификат в портал. HTTPS выполняет шифрование, используя личный и публичный ключи шифра. Публичный ключ содержится в сертификате и находится в открытом доступе для всех пользователей, чтобы информация могла быть зашифрована. Но для расшифровки требуется личный ключ, который должен предоставляться порталу.

Личные ключи и публичные сертификаты можно передавать в файлах *.p12 или *.pfx, которые обычно защищены паролем. Перед началом импорта убедитесь, что у вас есть файл *.p12 или *.pfx, и вы знаете пароль.

Шаги:
  1. Поместите файл *.p12 или *.pfx в каталог <Portal for ArcGIS installation location>\etc\ssl. В оставшихся шагах, в качестве примера, будет использован файл cert.p12.
  2. Откройте окно командной строки, используя опцию Запустить от имени администратора (Run as administrator).
  3. Из командной строки, перейдите в каталог <Portal for ArcGIS installation location>\etc\ssl.
  4. Посмотрите псевдоним сертификата, который вы пытаетесь импортировать:

    keytool -list -keystore cert.p12 -storetype PKCS12

    При запросе пароля keystore, введите пароль для файла *.p12 or *.pfx. В командной строке появится сообщение, подобное следующему:

    Keystore type: PKCS12
Keystore provider: SunJSSE

Your keystore contains 1 entry
la-620dfedf-681b-4fe0-af13-2d09b1c5515e, Dec 21, 2013, PrivateKeyEntry,
Certificate fingerprint (SHA1): 28:BB:ED:55:7C:5B:0F:F1:79:54:BF:FE:CC:14:82:20:E5:8F:BF:3D

    Строка букв и цифр, следующая за текстом Ваше хранилище ключей содержит 1 вход (Your keystore contains 1 entry), будет являться псевдонимом вашего сертификата.

  5. Импортируйте сертификат, определив псевдоним и изменив псевдоним сертификата на portalcert:

    keytool -importkeystore -srckeystore cert.p12 -destkeystore portal.ks -srcstoretype PKCS12 -deststoretype JKS -alias la-620dfedf-681b-4fe0-af13-2d09b1c5515e -destalias portalcert

    В появившемся окне для результирующего пароля keystore введите portal.secret. В появившемся окне введите пароль для файла *.p12 or *.pfx. Таким способом сертификат будет импортирован и псевдоним сертификата будет изменён на portalcert:

    ПримечаниеПримечание:

    Вы можете ввести собственное значение для параметра -destalias; portalcert приведен в качестве примера.

  6. Убедитесь, что сертификат был импортирован правильно:

    keytool -list -keystore portal.ks

    В появившемся окне для результирующего пароля keystore введите portal.secret. В списке записей хранилища ключей убедитесь, что псевдоним portalcert входит в число перечисленных.

  7. Измените пароль сертификата, который вы импортировали, для соответствия паролю хранилища ключей портала:

    keytool -keypasswd -keystore portal.ks -alias portalcert -keypass passwordofp12orpfxfile -new portal.secret

    В появившемся окне для результирующего пароля keystore введите portal.secret. Пароль сертификата, который вы импортировали, теперь является таким же, что и пароль хранилища ключей портала.

  8. В текстовом редакторе откройте файл <Portal for ArcGIS installation location>\framework\runtime\tomcat\conf\server.xml.
  9. Найдите свойство keystorePass="portal.secret" и добавьте keyAlias="portalcert" в конце свойства. Например:
    keystorePass="portal.secret" keyAlias="portalcert"
  10. Сохраните и закройте файл.
  11. Перезапустите Portal for ArcGIS для применения изменений. За разъяснениями обратитесь к разделу Остановка и запуск портала.
Copyright © 1995-2014 Esri. All rights reserved.
5/10/2014