ArcGIS软件部署-使用SAN证书解决浏览器安全警告问题


1.为什么要使用SAN证书

(1)在生成服务器证书时,一般将其绑定到服务器的访问域名上。但在有些情况下,需要为服务器配置多个访问地址,如使用机器名、IP、子域名等访问地址。OpenSSL中可以通过设置SAN选项,为证书增加可选域名。
(2)新版本Chrome浏览器对于访问使用不安全证书(包括自签名证书)的网站,将会给出安全警告。这对部署在局域网内部Portal的访问来说,每次访问都需要手动点允许不安全访问,这样很不方便。这个问题可通过增加证书的SAN选项来解决。

ArcGIS软件部署-使用SAN证书解决浏览器安全警告问题_第1张图片
chrome安全警告

以单机部署环境即在一台服务器上安装Portal、Server、DataStore为例,配置如下:

2.创建含SAN的证书

2.1.修改配置文件openssl.conf

[ req ]
# 开启req_extensions,默认被注释了
req_extensions = v3_req
 
[ v3_req ]
# 增加subjectAltName 一行
subjectAltName = @alt_names
 
# 新增加alt_names,注意括号前后的空格,DNS.x的数据根据需要增加
[ alt_names ]
DNS.1 = *.domain.com
DNS.2 = hostname
DNS.3 = server.domain.com
DNS.4 = serveralias.domain.com
IP.1=192.168.1.120

2.2.创建CA根证书

(1)创建CA私钥key
openssl genrsa -out private/xinlicakey.pem 2048
(2)自签发CA证书
openssl req -new -x509 -days 3650 -key private/xinlicakey.pem -out certs/xinlicakey.cer -extensions v3_ca -subj "/C=CN/ST=GD/L=GZ/O=esrichina/OU=gz/CN=*.xinli.com"
注:CN为公用名称。
(3)检查证书内容
openssl x509 -in certs/xinlicakey.cer -noout -text
(4)导出证书为P12格式
openssl pkcs12 -export -clcerts -in certs/xinlicakey.cer -inkey private/xinlicakey.pem -out certs/xinlicakey.p12
导出密码:自定义

2.3.创建服务器证书(SAN定义在服务器证书中)

(1)创建服务器证书私钥key
openssl genrsa -out private/webgisserver.pem 2048
(2)生成用户证书请求
openssl req -new -days 3650 -key private/webgisserver.pem -out private/webgisserver.csr -subj "/C=CN/ST=GD/L=GZ/O=esrichina/OU=gz/CN=webgis.xinli.com" -extensions v3_req -config ../openssl.cfg

注:CN为服务器使用的FQDN。

(3)查看请求文件
openssl req -text -noout -in private/webgisserver.csr
(4)用CA签发证书
openssl ca -in private/webgisserver.csr -out newcerts/webgisserver.cer -cert certs/xinlicakey.cer -keyfile private/xinlicakey.pem -extensions v3_req -config ../openssl.cfg
(5)导出证书为P12格式
openssl pkcs12 -export -clcerts -in newcerts/webgisserver.cer -inkey private/webgisserver.pem -out newcerts/webgisserver.p12
导出密码:自定义

3.Tomcat中配置服务器证书


4.更新Portal、Server和Datastore的证书

(1)Portal和Server导入服务器证书
默认情况下,Portal和Server安装时会使用机器名创建自签名证书,为避免证书问题,这里替换成制作好的服务器证书,将Portal和Server绑定到同一证书上。
(2)配置Web Adaptor使用的证书
配置Web Adaptor所在的web服务器证书,使用上面制作好的服务器证书。
(3)Datastore导入服务器证书
默认情况下,Datastore安装时会使用机器名创建自签名证书,为避免证书问题,将其替换成制作好的服务器证书。

5.客户机访问测试

客户机访问Portal前,需要安装CA根证书,可不用安装服务器证书。由于使用的host文件模拟的方式,需要在客户机中定义好IP和域名映射关系。

5.1.使用chrome访问测试

ArcGIS软件部署-使用SAN证书解决浏览器安全警告问题_第2张图片
自签名SAN证书

5.2.tomcat使用SAN访问

可以正常使用SAN中定义的IP、机器名、域名访问。

5.3.Server使用SAN访问

(1)rest地址访问:使用SAN中定义的IP、机器名、域名访问正常。
(2)manager地址访问:使用证书绑定的域名访问正常,其他访问失败。
(3)admin地址访问:使用SAN中定义的IP、机器名、域名访问正常,使用arcgis账号登录访问正常。

5.4.Portal使用SAN访问

(1)portal访问
使用ssl证书绑定的域名访问正常。
使用机器名访问,会跳转回域名地址。
使用其他域名,登录后会跳转回域名地址。
使用IP地址,登录界面报404错误。
(2)portal admin访问
使用SAN中定义的IP、域名访问正常。使用机器名时会跳转回域名地址。
(3)Portal sharing rest访问
使用SAN中定义的IP、域名访问正常。使用机器名时会跳转回域名地址。

6.局域网生产环境下的解决方案

局域网环境下,建议使用域证书,或者使用购买证书服务商签名的证书。
(1)域证书方案,需要在局域网环境下搭建AD、DNS、域证书服务器环境。
(2)购买证书,需要资金支持。
(3)变通方案,考虑到域证书方案中,环境搭建是一个浩大工程,可使用自签名证书,结合DNS的方式。自签名证书使用上述解决方案。此方案未经验证,建议验证后使用。

你可能感兴趣的:(ArcGIS软件部署-使用SAN证书解决浏览器安全警告问题)