使用新 CA 签名证书启用 SSL

本教程介绍了如何使用由证书颁发机构 (CA) 签名的证书为 ArcGIS Server 启用 SSL。使用 CA 签名证书启用 SSL 的步骤包括:

新建自签名证书

步骤:
  1. 登录到 ArcGIS Server 管理员目录:http://gisserver.domain.com:6080/arcgis/admin.
  2. 导航到计算机 > [计算机名称] > sslcertificates
  3. 单击生成
  4. 在此页面中,输入参数值:

    选项

    说明

    别名

    用于轻松识别证书的唯一名称。

    密钥算法

    使用 RSA(默认)或 DSA。

    密钥大小

    指定生成的用于创建证书的密钥的大小(单位为位)。密钥越大,就越难解密;但是,解密数据的时间也会随着密钥的增大而增加。对于 DSA,密钥大小可处于 512 和 1,024 之间。对于 RSA,建议的密钥大小为 2,048 或更大。

    签名算法

    使用默认值 (SHA1withRSA)。如果组织有特定的安全性限制,则可以针对 DSA 使用以下算法之一:SHA256withRSASHA384withRSASHA512withRSASHA1withDSA

    公用名

    将服务器名称的域名作为公用名。

    如果可通过 URL https://www.gisserver.com:6443/arcgis/ 访问 Internet 上的服务器,则请将 www.gisserver.com 作为常用名称。

    如果只能在局域网 (LAN) 上通过 URL https://gisserver.domain.com:6443/arcgis 访问服务器,请将 gisserver 作为常用名称。

    组织单位

    组织单位的名称,例如 GIS 部门。

    组织

    组织的名称,例如 Esri。

    城市或所在地

    城市或所在地的名称,例如雷德兰兹。

    州或省

    州或省的全称,例如加利福尼亚。

    国家代码

    国家代码的缩写,例如 US。

    有效期

    此证书有效的总天数,例如 365 天。

    主题备选名称

    主题备选名称 (SAN) 是一个可选参数,用于为 SSL 证书中指定的常用名称 (CN) 定义备选名称。如果未定义 SAN,则只能使用 URL 中的常用名称访问网站(无 SSL 证书错误)。通过 SAN,SSL 证书允许使用不同的 URL 访问同一网站。例如,如果使用以下参数值创建 SSL 证书,则 URL(https://www.esri.comhttps://esrihttps://10.60.1.16)可用于访问同一站点:

    CN=www.esri.com

    SAN=DNS:esri, IP:10.60.1.16

  5. 单击生成以生成证书。

请求 CA 为证书签名

为使 Web 浏览器将证书视为受信任证书,必须由 Verisign 或 Thawte 等知名证书颁发机构对证书进行验证和会签。

步骤:
  1. 打开在上一部分中创建的自签名证书,然后单击 generateCSR。将内容复制到通常具有 *.csr 扩展名的文件中。
  2. 向所选 CA 提交 CSR。您可能会获得可分辨编码规则 (DER) 或 Base64 编码的证书。如果 CA 要求提供证书所针对的 Web 服务器类型,请指定其他\未知Java 应用程序服务器。在验证身份后,CA 会向您发送 *.crt 或 *.cer 文件。
  3. 将从 CA 接收的签名证书保存到计算机的某个位置。除了签名证书以外,CA 还会颁发根证书。将 CA 根证书保存到计算机上。
  4. 登录到 ArcGIS Server 管理员目录:http://gisserver.domain.com:6080/arcgis/admin
  5. 单击计算机 > [计算机名称] > sslcertificates > importRootOrIntermediate 以导入 CA 提供的根证书。如果 CA 颁发了其他中间证书,则将这些证书一起导入。
  6. 导航到计算机 > [计算机名称] > sslcertificates
  7. 单击向 CA 提交的自签名证书的名称。
  8. 单击导入已签名证书并浏览到用于保存从 CA 接收的签名证书的位置。
  9. 单击提交。此时已在之前部分中创建的自签名证书将替换为 CA 签名证书。

配置 ArcGIS Server 以使用 CA 签名证书

注注:

CA 签名证书中定义的 CRL 分布点 (CDP) 必须有效,并能通过托管 ArcGIS Server 的计算机进行访问。如果 SSL 证书中定义的 CDP 无效或者因不具备 Internet 访问权限、网络或防火墙设置而无法访问,则 ArcGIS for Desktop 中的发布将失败。要解决此问题,请执行常见问题和解决方案主题的无法将服务发布到使用 CA 颁发的 SSL 证书的 ArcGIS Server 站点问题中介绍的步骤。

步骤:
  1. 登录到 ArcGIS Server 管理员目录:http://gisserver.domain.com:6080/arcgis/admin
  2. 导航到计算机 > [计算机名称]
  3. 单击编辑
  4. Web 服务器 SSL 证书字段中输入签名证书的名称。所指定的名称应与之前部分中 CA 签名证书所替换掉的自签名证书的别名相匹配。
  5. 单击保存编辑内容应用所做更改。
  6. 在当前页面上,查看属性 Web 服务器 SSL 证书以验证所需 SSL 证书将用于 SSL。

配置部署中的每台 GIS 服务器

如果 ArcGIS Server 采用多机部署,则必须为参与站点的每台 GIS 服务器获取和配置 CA 签名证书。

将 CA 根证书导入到 Windows 证书存储中

如果 Windows 证书存储中不存在证书颁发机构的根证书,则必须将其导入。

步骤:
  1. 登录到托管 ArcGIS Server 的计算机。
  2. 将从 CA 接收的签名证书复制到计算机的某个位置。
  3. 打开此证书,然后单击证书路径选项卡。如果证书状态:证书正常,则 CA 根证书将出现在 Windows 证书存储中,并不再需要导入。请跳至步骤 9。
  4. 将 CA 根证书复制到本计算机中的一个位置。
  5. 打开证书管理器。通过单击开始按钮,然后在“搜索”框中输入 certmgr.msc,然后按 Enter 键即可执行此操作。
  6. 证书管理器窗口中,单击受信任的根证书颁发机构,然后单击证书
  7. 在顶部菜单中单击操作,然后选择所有任务 > 导入
  8. 证书导入向导对话框中,单击下一步,然后按照向导中的说明导入 CA 的根证书。
  9. 对站点中的每台 GIS 服务器重复步骤 1-8。
  10. 重新启动站点中的每台 GIS 服务器。

为站点启用 SSL

步骤:
  1. 登录到 ArcGIS Server 管理员目录 http://gisserver.domain.com:6080/arcgis/admin
  2. 浏览至安全性 > 配置 > 更新
  3. 针对协议参数,选择 HTTP 和 HTTPS 选项并单击更新。这将自动重新启动 ArcGIS Server 站点。
  4. 站点重新启动后,请验证是否可访问 URL https://gisserver.domain.com:6443/arcgis/admin。如果此 URL 没有响应,ArcGIS Server 将无法使用指定的 SSL 证书。检查 SSL 证书并配置 ArcGIS Server 使用新的或其他 SSL 证书。
  5. 如果可访问 URL https://gisserver.domain.com:6443/arcgis/admin,请浏览至安全性 > 配置 > 更新
  6. 针对协议参数,选择仅 HTTPS 选项并单击更新
注注:

Web Adaptor 需要一分钟的时间来识别站点通信协议的更改。

法律声明法律声明:

在先前版本中,需要在更新 ArcGIS Server 的通信协议后重新配置 ArcGIS Web Adaptor。而在 10.2.2 版本中则不再需要进行此操作。

使用 SSL 访问站点

配置完 SSL 后,ArcGIS Server 将监听 6443 端口是否具有 HTTPS 请求。使用以下 URL 安全访问 ArcGIS Server:

ArcGIS Server Manager

https://gisserver.domain.com:6443/arcgis/manager

ArcGIS Server 服务目录

https://gisserver.domain.com:6443/arcgis/rest/services

注注:

如果在启用 SSL 时重命名 ArcGIS Server,则可以使用 SSL 继续访问 ArcGIS Server;但是,必须生成一个新的 SSL 证书并配置 ArcGIS Server 使用该证书。

5/15/2014