ArcGIS Enterprise on Kubernetes verwendet zwei Arten von digitalen Zertifikaten: Identitätszertifikate und vertrauenswürdige Zertifikate. Beide können mit ArcGIS Enterprise Manager oder über das ArcGIS Enterprise-Administratorverzeichnis importiert werden. Mit dem ArcGIS Enterprise Manager können Sie Zertifikate anzeigen, zuweisen und entfernen.
Importieren eines Identitätszertifikats
Ein Identitätszertifikat enthält einen öffentlichen Schlüssel, einen privaten Schlüssel und Informationen über den Besitzer und den Aussteller des Zertifikats. Diese werden normalerweise im PKCS12-Format (.pfx- oder .p12-Datei) gespeichert. Ein häufiger Anwendungsfall für ein Identitätszertifikat ist die Verwendung auf einem Webserver. ArcGIS Enterprise verwendet Identitätszertifikate für die eigenen Webserver, um Clients die Herstellung einer sicheren Verbindung mit ArcGIS Enterprise zu ermöglichen. Wenn ein Client (z. B. ein Webbrowser) versucht, mit einem Webserver zu kommunizieren, sendet der Webserver den öffentlichen Bestandteil des Identitätszertifikats an den Client. Der Client muss das Zertifikat überprüfen und vor dem Senden von Informationen sicherstellen, dass der Remotecomputer vertrauenswürdig ist. Dieses Vertrauen wird durch vertrauenswürdige Zertifikate hergestellt.
Das Identitätszertifikat, das Sie bei der erstmaligen Konfiguration von ArcGIS Enterprise on Kubernetes importiert haben, verbleibt in Ihrer Organisation und wird dem Eingangs-Controller zugewiesen.
Sie können mit ArcGIS Enterprise Manager jederzeit neue Identitätszertifikate importieren. Jedes importierte Identitätszertifikat kann dem Eingangs-Controller zugewiesen werden, um das ursprüngliche Zertifikat zu ersetzen.
Um ein neues Identitätszertifikat zu importieren und ggf. dem Eingangs-Controller zuzuweisen, gehen Sie wie folgt vor:
- Melden Sie sich bei ArcGIS Enterprise Manager an.
- Klicken Sie auf die Registerkarte der Seite Security.
- Überprüfen Sie auf der Registerkarte Overview die Zertifikate Ihrer Organisation in der Liste Active Certificates und den Identitätsspeicher in der Liste Identity Store.
- Optional können Sie ein aktives Zertifikat zur Sicherung des Eingangs-Controllers der Organisation zuweisen.
- Klicken Sie auf die Registerkarte TLS Certificates, und überprüfen Sie die verfügbaren Identitätszertifikate und vertrauenswürdigen Zertifikate.
- Klicken Sie auf Import Certificate, navigieren Sie zu dem Zertifikat, und wählen Sie es aus. Es muss sich dabei um eine .pfx- oder .p12-Datei handeln.
- Geben Sie die folgenden Informationen ein:
- Zertifikatname (Alias): Geben Sie einen eindeutigen und aussagekräftigen Namen für das Zertifikat ein.
- Kennwort: Geben Sie das Kennwort ein, um die Datei mit dem Zertifikat zu entsperren.
- In der PFX-Datei enthaltene Zertifikatskette importieren: Bei Auswahl dieser Option werden alle in der .pfx- oder .p12-Datei enthaltenen Stamm- oder Zwischenzertifikate ebenfalls importiert. Der Alias für diese Zertifikate stimmt mit dem oben eingegebenen Alias überein. Je nach Zertifikat wird _root oder _intermediate an den Alias angehängt.
- Klicken Sie auf Importieren.
- Klicken Sie in der Liste Identity Certificates auf Zuweisen, und wählen Sie Ingress controller aus, um das neue Zertifikat zu verwenden.
Der Eingangs-Controller-Pod Ihrer Organisation wird mit dem neuen Zertifikat automatisch neu gestartet. Das Zertifikat, das zuvor dem Eingangs-Controller zugewiesen wurde, bleibt ungenutzt in Ihrer Organisation erhalten.
Importieren eines vertrauenswürdigen Zertifikats
Ein vertrauenswürdiges Zertifikat enthält Informationen zum Zertifikataussteller bzw. zur Zertifizierungsstelle. Es wird in der Regel im PEM-Format (.cer- oder .crt-Datei) oder im binären .der-Dateiformat gespeichert. Als Zertifizierungsstellen (CA) bezeichnete Organisationen signieren Zertifikate und bestätigen damit, dass sie die Identität des Webservers und der Organisation, die den Webserver betreibt, überprüft haben. Die Zertifizierungsstellen haben eigene Zertifikate, die weit verbreitet sind und von Webbrowsern, Betriebssystemen und Client-Anwendungen als vertrauenswürdig eingestuft werden. Anhand von vertrauenswürdigen Zertifikaten kann ein Client bestimmen, ob ein Webserver vertrauenswürdig ist. Durch die Bereitstellung von vertrauenswürdigen Zertifikaten für ArcGIS Enterprise wird beim Herstellen einer Verbindung zwischen ArcGIS Enterprise und Remotecomputern überprüft, ob der Remotecomputer vertrauenswürdig ist.
Tipp:
Identitätszertifikate müssen zur Verwendung einer Komponente zugewiesen sein, vertrauenswürdige Zertifikate hingegen nicht.
Führen Sie die folgenden Schritte aus, um ein neues vertrauenswürdiges Zertifikat in Ihre Organisation zu importieren:
- Melden Sie sich bei ArcGIS Enterprise Manager an.
- Klicken Sie auf die Schaltfläche zum Sperren, um die Seite Security zu öffnen.
- Überprüfen Sie auf der Registerkarte Overview die Zertifikate und den Identitätsspeicher für Ihre Organisation unter Active Certificates bzw. Identity Store.
- Klicken Sie auf die Registerkarte TLS Certificates, um die verfügbaren Zertifikate in den Listen Identity Certificates und Trust Certificates zu überprüfen.
- Öffnen Sie die Liste Trust Certificates, und klicken Sie auf Import Certificate.
- Navigieren Sie zum neuen Zertifikat, bei dem es sich um eine .cer-, .der- oder .crt-Datei handelt.
- Geben Sie einen Zertifikatnamen (Alias) an, und klicken Sie auf Importieren.
Das vertrauenswürdige Zertifikat kann in Ihrer Organisation verwendet werden.