ArcGIS Enterprise on Kubernetes 使用两种类型的数字证书:身份证书和信任证书。 您可以使用 ArcGIS Enterprise Manager 或 ArcGIS Enterprise Administrator Directory 来导入这两种证书。 您可以使用 ArcGIS Enterprise Manager 查看、分配和移除证书。
导入身份证书
身份证书包含公钥、私钥,以及有关证书所有者和颁发者的信息。 该证书通常以 PKCS12 格式(.pfx 或 .p12 文件)存储。 身份证书的常见用例位于 Web 服务器。 ArcGIS Enterprise 会在其 Web 服务器中使用身份证书,以允许客户端安全地连接到 ArcGIS Enterprise。 当客户端(例如 Web 浏览器)尝试与 Web 服务器进行通信时,Web 服务器会将身份证书的公共部分发送至客户端。 客户端必须先验证该证书并确保远程计算机可信,然后再向其发送信息。 此种信任将通过信任证书建立。
您在初始 ArcGIS Enterprise on Kubernetes 配置过程中导入的身份证书会保留在组织中,并被分配给入口控制器。
您可以随时使用 ArcGIS Enterprise Manager 导入新的身份证书。 可以将导入的任何身份证书分配给入口控制器,以替换初始证书。
要导入新的身份证书并有选择地将其分配给入口控制器,请完成以下步骤:
- 登录到 ArcGIS Enterprise Manager。
- 单击安全页面选项卡。
- 在概览选项卡上,在活动证书列表中查看组织的证书,并且在身份存储列表中查看身份存储。
- 或者,分配活动证书以确保组织的入口控制器的安全性。
- 单击 TLS 证书选项卡,然后查看可用的身份证书和信任证书。
- 请单击导入证书,然后浏览并选择证书,该证书必须为 .pfx 或 .p12 文件。
- 提供 .pfx 或 .p12 文件的证书名称(别名)和密码。
- 单击导入。
- 在身份证书列表中,单击分配,然后选择入口控制器以使用新证书。
您组织的入口控制器 pod 将使用新证书自动重新启动。 先前分配给入口控制器的证书将在您的组织中保持未使用状态。
导入信任证书
信任证书中包含有关证书颁发者或证书颁发机构的信息。 该证书通常以 PEM 格式(.cer 或 .crt 文件)或二进制 .der 文件格式进行存储。 名为证书颁发机构 (CA) 的组织将对证书进行签名,表明该机构已对 Web 服务器的身份以及运行 Web 服务器的组织进行验证。 这些 CA 具有自己的证书,而这些证书能够在各个 Web 浏览器、操作系统和客户端应用程序中得到广泛分发和普遍信任。 信任证书可帮助客户端确定特定的 Web 服务器是否可信。 提供 ArcGIS Enterprise 信任证书有助于确保当 ArcGIS Enterprise 连接到远程计算机时,能够确定远程计算机是否可信。
提示:
虽然必须将身份证书分配给组件才能使用,但信任证书却没有。
要导入新的信任证书以在您的组织中使用,请完成以下步骤:
- 登录到 ArcGIS Enterprise Manager。
- 单击锁定按钮打开安全性页面。
- 在概览选项卡上,查看组织的证书,并分别标识活动证书和身份存储中的存储。
- 单击 TLS 证书选项卡以查看可用的身份证书和信任证书列表中可用的证书。
- 请打开信任证书列表,然后单击导入证书。
- 浏览到新证书,该证书必须是 .cer、.der 或 .crt 文件。
- 提供证书名称(别名),然后单击导入。
信任证书可供组织使用。