当 GeoScene Web Adaptor 已配置为向 GeoScene Server 站点转发请求时,需要在托管 GeoScene Web Adaptor 的 web 服务器上启用 HTTPS。要开始此过程,请执行以下步骤。
新建自签名证书
- 登录到 GeoScene Server 管理员目录,路径为 https://gisserver.domain.com:6443/geoscene/admin。
- 浏览至计算机 > [计算机名称] > sslcertificates。
- 单击生成。
- 在此页面中提供参数值:
选项 说明 别名
用于轻松识别证书的唯一名称。
密钥算法
使用 RSA (默认) 或 DSA。
密钥大小
指定生成的用于创建证书的密钥大小 (单位为位)。密钥越大,就越难解密;但是,解密数据的时间也会随着密钥的增大而增加。对于 DSA,密钥大小位于 512 和 1,024 之间。对于 RSA,推荐的密钥大小为 2,048 或更大。
签名算法
使用默认值 (SHA1withRSA)。如果组织有特定的安全性限制,则可以针对 DSA 使用以下算法之一: SHA256withRSA、SHA384withRSA、SHA512withRSA、SHA1withDSA。
公用名
将服务器名称的域名作为常用名称。
如果要通过 URL https://www.gisserver.com:6443/geoscene/ 在 Internet 上访问服务器,则将 www.gisserver.com 作为常用名称。
如果只能通过 URL https://gisserver.domain.com:6443/geoscene 在局域网(LAN)上访问服务器,则请将 gisserver.domain.com 作为常用名称。
组织单位
组织单位的名称,例如 GIS 部门。
组织
组织的名称,例如易智瑞。
城市或所在地
城市或所在地的名称,例如武汉市。
州或省
州、省及同等行政单位的全称,例如北京市。
国家/地区代码
国家代码的缩写,例如 CHN。
有效期
此证书有效的总天数,例如 365 天。
主题备选名称
主题备选名称 (SAN) 是一个可选参数,用于为证书中指定的常用名称 (CN) 定义备选名称。SAN 参数值中不能有任何空格。
如果此参数留空,则将本地计算机的完全限制域名用作默认值。SAN 字段支持多值;但是,该字段必须包含网站的完全限制域名。例如,如果使用以下 SAN 参数值创建证书,则可利用 URL https://www.geoscene.cn、https://geoscene 访问同一站点:
DNS:www.geoscene.cn,DNS:geoscene
- 单击生成以生成证书。
请求 CA 为证书签名
如果 GeoScene Web Adaptor 是到您站点的唯一网关,且组织的 IT 安全策略允许使用自签名证书,则可跳过本部分。但如果用户能偶尔绕过 GeoScene Web Adaptor 直接访问 GeoScene Server,或者您的 IT 策略不允许使用自签名证书,则建议您执行下面的步骤以请求 CA 为证书签名。
- 打开在上一部分中创建的自签名证书,然后单击 generateCSR。将内容复制到扩展名通常为 .csr 的文件中。
- 向所选 CA 提交 CSR。您可获得可分辨编码规则 (DER) 或 Base64 编码的证书。如果 CA 要求提供证书所针对的 Web 服务器类型,请指定其他\未知或 Java 应用程序服务器。在验证身份后,CA 会向您发送 .crt 或 .cer 文件。
- 请将您从 CA 接收的签名证书保存到计算机的某个位置。除了签名证书以外,CA 还会颁发根证书。将 CA 根证书保存到计算机上。
- 登录到 GeoScene Server 管理员目录:https://gisserver.domain.com:6443/geoscene/admin。
- 单击计算机 > [计算机名称] > sslcertificates > importRootOrIntermediate 以导入 CA 提供的根证书。如果 CA 颁发了其他中间证书,则将这些证书一起导入。
- 浏览至计算机 > [计算机名称] > sslcertificates。
- 单击向 CA 提交的自签名证书的名称。
- 单击导入已签名证书,然后浏览到用于保存从 CA 接收的签名证书的位置。
- 单击提交。此时已在之前部分中创建的自签名证书将替换为 CA 签名证书。
配置 GeoScene Server 以使用该证书
要指定 GeoScene Server 应使用的证书,请完成以下步骤:
- 登录到 GeoScene Server 管理员目录,路径为 https://gisserver.domain.com:6443/geoscene/admin。
- 浏览至计算机 > [计算机名称]。
- 单击编辑。
- 在 Web 服务器 SSL 证书字段中键入要使用的证书名称。
- 单击保存编辑内容以应用更改。这将自动重新启动 GeoScene Server 站点。
- 站点重新启动后,请验证是否可访问 URL https://gisserver.domain.com:6443/geoscene/admin。如果此 URL 没有响应,则 GeoScene Server 无法使用指定的 SSL 证书。检查 SSL 证书并配置 GeoScene Server 以使用新的或其他证书。
- 在当前页面上,查看属性 Web 服务器 SSL 证书以验证将用于 HTTPS 的所需证书。
配置部署中的每台计算机
如果 GeoScene Server 采用多机部署,则必须对部署中的每台计算机进行配置以使用证书。重复上一部分中的步骤,在每台 GeoScene Server 计算机中配置证书。
在 GeoScene Web Adaptor 上配置 HTTPS。
在托管 GeoScene Web Adaptor 的 Web 服务器上启用 HTTPS。有关完整说明,请参阅特定于 web 服务器的产品文档。要了解详细信息,请参阅在 Web 服务器上启用 HTTPS。
访问您的站点
您可以使用端口 6443 或 Web Adaptor URL 通过 HTTPS 直接对 GeoScene Server 进行安全访问。如果您重命名了 GeoScene Server 站点,则可以使用 HTTPS 继续访问 GeoScene Server;但是,必须生成一个新的证书并配置 GeoScene Server 以使用该证书。URL 的格式如下:
GeoScene Server Manager | 通过服务器访问 Manager:https://gisserver.domain.com:6443/geoscene/manager。 通过 GeoScene Web Adaptor 访问 Manager(仅在启用管理访问权限时适用):https://webadaptorhost.domain.com/webadaptorname/manager。 |
GeoScene Server 服务目录 | 通过服务器访问服务目录:https://gisserver.domain.com:6443/geoscene/rest/services。 通过 GeoScene Web Adaptor 访问服务目录:https://webadaptorhost.domain.com/webadaptorname/rest/services。 |