安装Portal for ArcGIS时如何正确配置HTTPS证书

0
分享 2016-12-30
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
它提供了以下服务:
1)认证用户和服务器,确保数据发送到正确的客户机和服务器;
2)加密数据以防止数据中途被窃取;
3)维护数据的完整性,确保数据在传输过程中不被改变。

在配置Portal for ArcGIS时候,由于需要用到HTTPS进行访问以及和ArcGIS Server进行通讯,所以需要用到SSL。
OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序

供测试或其它目的使用。OpenSSL整个软件包大概可以分成三个主要的功能部分:密码算法库、SSL协议库以及应用程序。
以下为使用OpenSSL对SSL的常规配置流程。

1.生成密钥对
openssl genrsa -des3 -out myServer.key 2048

2.生成证书签名请求。
openssl req -new -key myServer.key -out myServer.csr -subj

"/C=CN/ST=Guangdong/L=Guangzhou/O=Esri/OU=IT/CN=www.seanpc.com"

注意:CN为服务器域名名称。

3.签名证书
openssl req -x509 -sha256 -days 3650 -key myServer.key -in myServer.csr -out myServer.crt

4.测试证书。
openssl x509 -noout -text -in myServer.crt

6.导出PKCS标准的证书。该格式证书可以被导入到IIS中。
openssl pkcs12 -export -inkey myServer.key -in myServer.crt -name www.seanpc.com -out myServer.pfx

7.导入到tomcat或IIS服务器中以启动Https。
#对于IIS服务器,双击myServer.pfx启动导入向导。

#对于tomcat服务器,修改server.xml配置文件如下。
##使用JSSE实现:
<!-- Define a HTTP/1.1 Connector on port 8443, JSSE NIO implementation -->

<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"

port="8443" .../>



<!-- Define a HTTP/1.1 Connector on port 8443, JSSE BIO implementation -->

<Connector protocol="org.apache.coyote.http11.Http11Protocol"

port="8443" .../>
<!-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->
<Connector
protocol="org.apache.coyote.http11.Http11NioProtocol"
port="8443" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="${user.home}/.keystore" keystorePass="changeit"
clientAuth="false" sslProtocol="TLS"/>




##使用APR OpenSSL引擎实现:
<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />

<!-- Define a HTTP/1.1 Connector on port 8443, APR implementation -->
<Connector protocol="org.apache.coyote.http11.Http11AprProtocol"
port="8443" .../>

<!-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->
<Connector
protocol="org.apache.coyote.http11.Http11Protocol"
port="8443" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA" clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"
keystoreType="PKCS12" keystoreFile="C:\apache-tomcat-7.0.47\myServer.pfx" keystorePass="esrichina"/>



文章来源:http://www.cnblogs.com/luwl/p/5872465.html

0 个评论

要回复文章请先登录注册