使用新 CA 签名证书启用 SSL

本教程介绍了如何使用由证书颁发机构 (CA) 签名的证书为 ArcGIS Server 启用 SSL。使用 CA 签名证书启用 SSL 的步骤包括:

新建自签名证书

步骤:
  1. 登录到 ArcGIS Server 管理员目录:http://[主机名称]:6080/arcgis/admin
  2. 导航到计算机 > [计算机名称] > sslcertificates
  3. 单击生成
  4. 在此页面中,输入参数值:

    选项

    说明

    别名

    用于轻松识别证书的唯一名称。

    密钥算法

    使用 RSA(默认)或 DSA。

    密钥大小

    指定生成的用于创建证书的密钥的大小(单位为位)。密钥越大,就越难解密。但是,解密数据的时间也会随着密钥的增大而增加。对于 DSA,密钥大小可处于 512 和 1024 之间。对于 RSA,建议的密钥大小为 2048 或更大。

    签名算法

    使用默认值 (SHA1withRSA)。如果组织有特定的安全性限制,可以使用以下算法之一:SHA256withRSASHA384withRSASHA512withRSASHA1withDSA(适用于 DSA)。

    公用名

    将服务器名称的域名作为公用名。

    如果可在 Internet 上通过 https://www.myarcgis.com:6443/arcgis/ 访问服务器,则将 www.myarcgis.com 作为公用名。

    如果只能在局域网 (LAN) 上通过 https://hostname:6443/arcgis/ 访问服务器,则将主机名作为公用名。

    组织单位

    组织单位的名称。示例:GIS 部门

    组织

    组织的名称。示例:Esri

    城市或所在地

    城市或所在地的名称。示例:雷德兰兹

    州或省

    州或省的全称。示例:加利福尼亚

    国家代码

    国家代码的缩写。示例:US

    有效期

    此证书有效的总天数。示例:365.

  5. 单击提交生成证书。

请求 CA 为证书签名

为使 Web 浏览器将证书视为受信任证书,必须由 Verisign 或 Thawte 等知名证书颁发机构对证书进行验证和会签。

步骤:
  1. 打开在上一部分中创建的证书,然后单击 generateCSR。将内容复制到通常具有 *.csr 扩展名的文件中。
  2. 向所选 CA 提交 CSR。在验证身份后,CA 会向您发送 *.crt 或 *.cer 文件。
  3. 将从 CA 接收的签名证书保存到计算机的某个位置。除了签名证书以外,CA 还会颁发 CA 根证书。将 CA 根证书保存到计算机上。
  4. 登录到 ArcGIS Server 管理员目录:http://[主机名称]:6080/arcgis/admin
  5. 单击计算机 > [计算机名称] > sslcertificates > importRootOrIntermediate 以导入 CA 根证书。如果 CA 颁发了其他中间证书,则将这些证书一起导入。
  6. 导航到计算机 > [计算机名称] > sslcertificates
  7. 单击向 CA 提交的证书的名称。
  8. 单击 importSignedCertificate
  9. 单击浏览并导航到保存从 CA 接收的签名证书的位置。
  10. 单击提交导入此证书。这样,即可使用 CA 签名证书替换自签名证书。

将 CA 根证书导入到 OS 证书存储中

步骤:
  1. 在托管 ArcGIS Server 的计算机上,打开证书管理器。通过单击开始按钮,然后在“搜索”框中输入 certmgr.msc,然后按 Enter 键即可执行此操作。
  2. 证书管理器对话框中,选择证书内容列表下相应的文件夹。
  3. 选择文件夹后,单击操作菜单,然后选择所有任务 > 导入
  4. 证书导入向导对话框中,单击下一步,然后按照向导中的说明导入 CA 的根证书。
  5. 对站点中的每台 GIS 服务器计算机重复步骤 1-4。
  6. 重新启动站点中的每台 GIS 服务器计算机。

配置 ArcGIS Server 使用 SSL 证书

要指定 ArcGIS Server 应使用的 SSL 证书,请执行以下操作:

步骤:
  1. 登录到 ArcGIS Server 管理员目录:http://[主机名称]:6080/arcgis/admin
  2. 导航到计算机 > [计算机名称]
  3. 单击编辑
  4. Web 服务器 SSL 证书框中输入要使用的 SSL 证书的名称。
  5. 单击保存编辑内容应用更改。
  6. 在当前页面上,查看属性 Web 服务器 SSL 证书以验证所需 SSL 证书将用于 SSL。

配置部署中的每台 GIS 服务器

如果 ArcGIS Server 采用多机部署,则必须为参与站点的每台 GIS 服务器获取和配置 CA 签名证书。

为站点启用 SSL

步骤:
  1. 登录到 ArcGIS Server 管理员目录:http://[主机名称]:6080/arcgis/admin
  2. 导航到安全性 > 配置 > 更新
  3. 对于协议参数,选择仅 HTTPS 选项,然后单击更新。在开发者环境中,您也可以选择使用 HTTP 和 HTTPS 选项。使用此选项时,用户能够通过 HTTP 或 HTTPS 访问 ArcGIS Server。
    注注:

    应用协议参数更改会自动重新启动 ArcGIS Server 站点。

使用 SSL 访问站点

配置完 SSL 后,ArcGIS Server 将监听 6443 端口是否具有 HTTPS 请求。使用以下 URL 安全访问 ArcGIS Server:

ArcGIS Server 管理器

https://[服务器名称]:6443/arcgis/manager

ArcGIS Server 服务目录

https://[服务器名称]:6443/arcgis/rest/services

注注:

如果在启用 SSL 时重命名 ArcGIS Server,则可以使用 SSL 继续访问 ArcGIS Server。但是,您必须生成一个新的 SSL 证书并配置 ArcGIS Server 来使用该证书。

9/15/2013