1.为什么要使用SAN证书

（1）在生成服务器证书时，一般将其绑定到服务器的访问域名上。但在有些情况下，需要为服务器配置多个访问地址，如使用机器名、IP、子域名等访问地址。OpenSSL中可以通过设置SAN选项，为证书增加可选域名。
（2）新版本Chrome浏览器对于访问使用不安全证书（包括自签名证书）的网站，将会给出安全警告。这对部署在局域网内部Portal的访问来说，每次访问都需要手动点允许不安全访问，这样很不方便。这个问题可通过增加证书的SAN选项来解决。

chrome安全警告

以单机部署环境即在一台服务器上安装Portal、Server、DataStore为例，配置如下：

2.创建含SAN的证书

2.1.修改配置文件openssl.conf

[ req ]
# 开启req_extensions，默认被注释了
req_extensions = v3_req
 
[ v3_req ]
# 增加subjectAltName 一行
subjectAltName = @alt_names
 
# 新增加alt_names，注意括号前后的空格，DNS.x的数据根据需要增加
[ alt_names ]
DNS.1 = *.domain.com
DNS.2 = hostname
DNS.3 = server.domain.com
DNS.4 = serveralias.domain.com
IP.1=192.168.1.120

2.2.创建CA根证书

（1）创建CA私钥key
openssl genrsa -out private/xinlicakey.pem 2048
（2）自签发CA证书
openssl req -new -x509 -days 3650 -key private/xinlicakey.pem -out certs/xinlicakey.cer -extensions v3_ca -subj "/C=CN/ST=GD/L=GZ/O=esrichina/OU=gz/CN=*.xinli.com"
注：CN为公用名称。
（3）检查证书内容
openssl x509 -in certs/xinlicakey.cer -noout -text
（4）导出证书为P12格式
openssl pkcs12 -export -clcerts -in certs/xinlicakey.cer -inkey private/xinlicakey.pem -out certs/xinlicakey.p12
导出密码：自定义

2.3.创建服务器证书（SAN定义在服务器证书中）

（1）创建服务器证书私钥key
openssl genrsa -out private/webgisserver.pem 2048
（2）生成用户证书请求
openssl req -new -days 3650 -key private/webgisserver.pem -out private/webgisserver.csr -subj "/C=CN/ST=GD/L=GZ/O=esrichina/OU=gz/CN=webgis.xinli.com" -extensions v3_req -config ../openssl.cfg

注：CN为服务器使用的FQDN。

（3）查看请求文件
openssl req -text -noout -in private/webgisserver.csr
（4）用CA签发证书
openssl ca -in private/webgisserver.csr -out newcerts/webgisserver.cer -cert certs/xinlicakey.cer -keyfile private/xinlicakey.pem -extensions v3_req -config ../openssl.cfg
（5）导出证书为P12格式
openssl pkcs12 -export -clcerts -in newcerts/webgisserver.cer -inkey private/webgisserver.pem -out newcerts/webgisserver.p12
导出密码：自定义

3.Tomcat中配置服务器证书

4.更新Portal、Server和Datastore的证书

（1）Portal和Server导入服务器证书
默认情况下，Portal和Server安装时会使用机器名创建自签名证书，为避免证书问题，这里替换成制作好的服务器证书，将Portal和Server绑定到同一证书上。
（2）配置Web Adaptor使用的证书
配置Web Adaptor所在的web服务器证书，使用上面制作好的服务器证书。
（3）Datastore导入服务器证书
默认情况下，Datastore安装时会使用机器名创建自签名证书，为避免证书问题，将其替换成制作好的服务器证书。

5.客户机访问测试

客户机访问Portal前，需要安装CA根证书，可不用安装服务器证书。由于使用的host文件模拟的方式，需要在客户机中定义好IP和域名映射关系。

5.1.使用chrome访问测试

自签名SAN证书

5.2.tomcat使用SAN访问

可以正常使用SAN中定义的IP、机器名、域名访问。

5.3.Server使用SAN访问

（1）rest地址访问：使用SAN中定义的IP、机器名、域名访问正常。
（2）manager地址访问：使用证书绑定的域名访问正常，其他访问失败。
（3）admin地址访问：使用SAN中定义的IP、机器名、域名访问正常，使用arcgis账号登录访问正常。

5.4.Portal使用SAN访问

（1）portal访问
使用ssl证书绑定的域名访问正常。
使用机器名访问，会跳转回域名地址。
使用其他域名，登录后会跳转回域名地址。
使用IP地址，登录界面报404错误。
（2）portal admin访问
使用SAN中定义的IP、域名访问正常。使用机器名时会跳转回域名地址。
（3）Portal sharing rest访问
使用SAN中定义的IP、域名访问正常。使用机器名时会跳转回域名地址。

6.局域网生产环境下的解决方案

局域网环境下，建议使用域证书，或者使用购买证书服务商签名的证书。
（1）域证书方案，需要在局域网环境下搭建AD、DNS、域证书服务器环境。
（2）购买证书，需要资金支持。
（3）变通方案，考虑到域证书方案中，环境搭建是一个浩大工程，可使用自签名证书，结合DNS的方式。自签名证书使用上述解决方案。此方案未经验证，建议验证后使用。

ArcGIS软件部署-使用SAN证书解决浏览器安全警告问题