Importieren eines Zertifikats in das Portal

HTTPS ist eine Option zum Verschlüsseln der Kommunikation zu und von einem Webserver. Außerdem ermöglicht HTTPS einer Clientanwendung die Bestätigung der Identität des Webservers. Bei der Verwendung von HTTPS muss jeder Webserver, für den HTTPS aktiviert ist, ein Zertifikat an die Clients senden. Das Zertifikat enthält eine Identitätserklärung (Ich bin "gis.mycity.gov") und einen öffentlichen Schlüssel, mit dem der Client verschlüsselte Informationen an den Webserver senden kann.

Portal for ArcGIS-Benutzer übertragen oft Informationen, die verschlüsselt werden müssen. Aus diesem Grund ist im Portal immer HTTPS aktiviert und für Web Adaptor erforderlich. Ihr Web Adaptor ist für die Verwendung mit einem Webserver mit aktiviertem HTTPS installiert.

Es wird empfohlen, das Webserverzertifikat von einer Zertifizierungsstelle signieren zu lassen. Das Portal selbst verfügt über ein selbstsigniertes Zertifikat. Bei einem selbstsignierten Zertifikat kann ein Client die Identität des Servers nicht überprüfen, Inhalte jedoch verschlüsselt senden. Durch das Ersetzen eines selbstsignierten Zertifikats durch ein von einer Zertifizierungsstelle signiertes Zertifikat wird die Sicherheit Ihrer Bereitstellung erhöht.

Es gibt zwei Möglichkeiten, ein Zertifikat mit dem Portal zu verwenden. Die erste Möglichkeit besteht darin, ein neues Zertifikat zu generieren, indem eine Zertifikatsignieranforderung generiert, von der Zertifizierungsstelle signiert und in das Portal importiert wird. Als zweite Möglichkeit kann ein vorhandenes Zertifikat importiert werden, das dem Computer, auf dem das Portal installiert ist, bereits zugewiesen wurde. Da die meisten Zertifizierungsstellen das Signieren von Zertifikaten in Rechnung stellen, ziehen Kunden mit vorhandenen Zertifikaten für denselben Computer es möglicherweise vor, das vorhandene Zertifikat zu importieren, anstatt ein neues Zertifikat zu generieren. Im Folgenden werden die Schritte für beide Prozesse erläutert.

Bei allen nachfolgend beschriebenen Schritten wird ein Tool mit dem Namen keytool zum Verwalten der Zertifikate verwendet. Der keytool-Befehl befindet sich unter <Portal for ArcGIS installation location>\arcgis\portal\framework\runtime\jre\bin. Alle Ihre Zertifikate werden in einer Datei mit dem Namen "portal.ks" unter <Portal for ArcGIS installation location>\arcgis\portal\etc\ssl gespeichert.

Generieren eines neuen Zertifikats

Diese Schritte unterstützen Sie beim Generieren einer Zertifikatsignieranforderung, Signieren, Importieren des Stammzertifikats Ihrer Organisation und Importieren des signierten Zertifikats.

Generieren und Signieren einer Zertifikatsignieranforderung

Schritte:
  1. Öffnen Sie über die Option Als Administrator ausführen ein Eingabeaufforderungsfenster.
  2. Navigieren Sie in der Befehlszeile zum Verzeichnis <Portal for ArcGIS installation location>\framework\runtime\jre\bin.
  3. Führen Sie den folgenden Befehl aus:

    keytool –genkey –alias portalcert –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks -keyalg RSA

    HinweisHinweis:

    Als -alias-Parameter können Sie einen eigenen Text eingeben; portalcert ist hier ein Beispiel. Der gewählte Aliasname ist wichtig, da Sie ihn im Anschluss beim Erstellen der Zertifikatsignieranforderung und Importieren des signierten Zertifikats in das Portal benötigen werden.

    1. Wenn Sie dazu aufgefordert werden, geben Sie das Keystore-Kennwort portal.secret ein. Drücken Sie die Eingabetaste.
    2. Wenn Sie nach Ihrem Vor- und Nachnamen gefragt werden, geben Sie den vollständig qualifizierten Domänennamen Ihres Servers ein (z. B. portal.mycity.gov). Drücken Sie die Eingabetaste.
    3. Geben Sie als Organisationseinheit einen Abteilungsnamen ein, der von einem Benutzer Ihrer Site erkannt werden kann. Drücken Sie die Eingabetaste.
    4. Geben Sie den Namen Ihrer Organisation an. Drücken Sie die Eingabetaste.
    5. Geben Sie den Namen der Stadt oder das Gebietsschema an. Drücken Sie die Eingabetaste.
    6. Geben Sie den Namen des Bundeslandes oder des Kantons an. Drücken Sie die Eingabetaste.
    7. Geben Sie den zweistelligen Ländercode des Sitzes Ihrer Organisation an. Drücken Sie die Eingabetaste.
    8. Überprüfen Sie die Informationen auf ihre Richtigkeit. Geben Sie ja ein, und drücken Sie die EINGABETASTE.
    9. Geben Sie optional ein Keystore-Kennwort für das Zertifikat an. Wenn das Standard-Keystore-Kennwort portal.secret verwendet werden soll, geben Sie nichts an. Drücken Sie die Eingabetaste.
  4. Führen Sie den folgenden Befehl aus:

    keytool –certreq –alias portalcert –file <Portal for ArcGIS installation location>/etc/ssl/portalcert.csr –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks

  5. Geben Sie das Keystore-Kennwort an. Wenn Sie die vorstehende Standardeinstellung gewählt haben, lautet das Kennwort portal.secret. Drücken Sie die Eingabetaste.

Eine Datei mit dem Namen portalcert.csr wird im Verzeichnis <Portal for ArcGIS installation location>/etc/ssl generiert. Senden Sie diese Datei an die Zertifizierungsstelle, um sie signieren zu lassen. Legen Sie die Datei, die zurückgesendet wird, im Verzeichnis <Portal for ArcGIS installation location>\etc\ssl ab.

Importieren des Stammzertifikats Ihrer Organisation

Schritte:
  1. Öffnen Sie über die Option Als Administrator ausführen ein Eingabeaufforderungsfenster.
  2. Navigieren Sie in der Befehlszeile zum Verzeichnis <Portal for ArcGIS installation location>\framework\runtime\jre\bin.
  3. Importieren Sie das Stammzertifikat Ihrer Organisation in das Portal, indem Sie den folgenden Befehl ausführen:

    keytool –importcert –alias orgRootCert –file <file path to root certificate>/orgRootCert.cer –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks

    Wenden Sie sich an den Systemadministrator, um zu erfahren, wie Sie das Stammzertifikat erhalten.

    HinweisHinweis:

    Als -alias-Parameter können Sie einen eigenen Text eingeben; orgRootCert ist hier ein Beispiel.

  4. Geben Sie das Keystore-Kennwort an. Wenn Sie die vorstehende Standardeinstellung gewählt haben, lautet das Kennwort portal.secret. Drücken Sie die Eingabetaste.
  5. Wenn Sie zur Bestätigung dieses Zertifikats aufgefordert werden, geben Sie ja ein, und drücken Sie die EINGABETASTE.

Importieren des signierten Zertifikats

Schritte:
  1. Öffnen Sie über die Option Als Administrator ausführen ein Eingabeaufforderungsfenster.
  2. Navigieren Sie in der Befehlszeile zum Verzeichnis <Portal for ArcGIS installation location>\framework\runtime\jre\bin.
  3. Importieren Sie das signierte Zertifikat, das Sie von der Zertifizierungsstelle erhalten haben, indem Sie den folgenden Befehl ausführen:

    keytool –importcert –alias portalcert –file <Portal for ArcGIS installation location>/etc/ssl/signedCert.cer –keystore <Portal for ArcGIS installation location>/etc/ssl/portal.ks

  4. Geben Sie das Keystore-Kennwort an. Wenn Sie die vorstehende Standardeinstellung gewählt haben, lautet das Kennwort portal.secret. Drücken Sie die Eingabetaste.
  5. Öffnen Sie die Datei <Portal for ArcGIS installation location>\framework\runtime\tomcat\conf\server.xml in einem Texteditor.
  6. Suchen Sie die keystorePass="portal.secret"-Eigenschaft, und hängen Sie keyAlias="portalcert" an deren Ende an. Beispiel:
    keystorePass="portal.secret" keyAlias="portalcert"
  7. Speichern und schließen Sie die Datei.
  8. Starten Sie Portal for ArcGIS neu, damit die Änderung wirksam wird. Weitere Anweisungen finden Sie unter Starten und Beenden des Portals.

Importieren eines vorhandenen Zertifikats

Diese Schritte unterstützen Sie beim Importieren eines vorhandenen Zertifikats in das Portal. Die Verschlüsselung erfolgt durch HTTPS mithilfe eines Schlüsselpaares bestehend aus einem privaten und einem öffentlichen Verschlüsselungsschlüssel. Der öffentliche Schlüssel befindet sich im Zertifikat und wird für alle Benutzer freigegeben, sodass Informationen verschlüsselt werden können. Zur Entschlüsselung wird ein privater Schlüssel benötigt, der für das Portal bereitgestellt werden muss.

Private Schlüssel und öffentliche Zertifikate werden in *.p12- oder *.pfx-Dateien abgelegt. Diese Dateien sind oft kennwortgeschützt. Stellen Sie vor Beginn sicher, dass Sie über die *.p12- oder *.pfx-Datei verfügen und das Kennwort kennen.

Schritte:
  1. Legen Sie die *.p12- oder *.pfx-Datei im Verzeichnis <Portal for ArcGIS installation location>\etc\ssl ab. In den verbleibenden Schritten wird als Beispiel cert.p12 verwendet.
  2. Öffnen Sie über die Option Als Administrator ausführen ein Eingabeaufforderungsfenster.
  3. Navigieren Sie in der Befehlszeile zum Verzeichnis <Portal for ArcGIS installation location>\etc\ssl.
  4. Schlagen Sie den Alias des Zertifikats nach, das Sie importieren möchten:

    keytool -list -keystore cert.p12 -storetype PKCS12

    Wenn Sie dazu aufgefordert werden, das Keystore-Kennwort einzugeben, geben Sie das Kennwort für die *.p12- oder *.pfx-Datei ein. In der Eingabeaufforderung wird eine Meldung ähnlich der folgenden angezeigt:

    Keystore type: PKCS12
Keystore provider: SunJSSE

Your keystore contains 1 entry
la-620dfedf-681b-4fe0-af13-2d09b1c5515e, Dec 21, 2013, PrivateKeyEntry,
Certificate fingerprint (SHA1): 28:BB:ED:55:7C:5B:0F:F1:79:54:BF:FE:CC:14:82:20:E5:8F:BF:3D

    Die Zeichenfolge aus Buchstaben und Ziffern nach dem Text Your keystore contains 1 entry ist der Alias Ihres Zertifikats.

  5. Importieren Sie das Zertifikat, indem Sie den Alias definieren, und ändern Sie den Alias des Zertifikats in portalcert:

    keytool -importkeystore -srckeystore cert.p12 -destkeystore portal.ks -srcstoretype PKCS12 -deststoretype JKS -alias la-620dfedf-681b-4fe0-af13-2d09b1c5515e -destalias portalcert

    Wenn Sie dazu aufgefordert werden, geben Sie als Ziel-Keystore-Kennwort portal.secret ein. Wenn Sie dazu aufgefordert werden, geben Sie das Kennwort für die *.p12- oder *.pfx-Datei ein. Damit wird das Zertifikat importiert und der Alias des Zertifikats in portalcert geändert.

    HinweisHinweis:

    Als -destalias-Parameter können Sie einen eigenen Text eingeben; portalcert ist hier ein Beispiel.

  6. Stellen Sie sicher, dass das Zertifikat ordnungsgemäß importiert wurde:

    keytool -list -keystore portal.ks

    Wenn Sie dazu aufgefordert werden, geben Sie als Ziel-Keystore-Kennwort portal.secret ein. Stellen Sie sicher, dass der portalcert-Alias in der Liste der Keystore-Einträge aufgeführt wird.

  7. Ändern Sie das Kennwort des Zertifikats, das Sie importiert haben, sodass es mit dem Kennwort des Portal-Keystore übereinstimmt:

    keytool -keypasswd -keystore portal.ks -alias portalcert -keypass passwordofp12orpfxfile -new portal.secret

    Wenn Sie dazu aufgefordert werden, geben Sie als Ziel-Keystore-Kennwort portal.secret ein. Das Kennwort des importierten Zertifikats ist jetzt mit dem Kennwort des Portal-Keystore identisch.

  8. Öffnen Sie die Datei <Portal for ArcGIS installation location>\framework\runtime\tomcat\conf\server.xml in einem Texteditor.
  9. Suchen Sie die keystorePass="portal.secret"-Eigenschaft, und hängen Sie keyAlias="portalcert" an deren Ende an. Beispiel:
    keystorePass="portal.secret" keyAlias="portalcert"
  10. Speichern und schließen Sie die Datei.
  11. Starten Sie Portal for ArcGIS neu, damit die Änderung wirksam wird. Weitere Anweisungen finden Sie unter Starten und Beenden des Portals.
Copyright © 1995-2014 Esri. All rights reserved.
5/10/2014