数字证书中包含有关资源(例如计算机、数据库或用户)身份的信息。 可将其用于建立与远程资源之间的安全连接并进行加密。
ArcGIS Enterprise on Kubernetes 使用两种类型的数字证书:身份证书和信任证书。 您可以使用 ArcGIS Enterprise Manager 或 ArcGIS Enterprise Administrator Directory 来导入这两种证书。 您可以使用 ArcGIS Enterprise Manager 查看、分配和移除证书。
身份证书
身份证书包含公钥、私钥,以及有关证书所有者和颁发者的信息。 该证书通常以 PKCS12 格式(.pfx 或 .p12 文件)存储。 身份证书的常见用例位于 Web 服务器。 ArcGIS Enterprise 会在其 Web 服务器中使用身份证书,以允许客户端安全地连接到 ArcGIS Enterprise。 当客户端(例如 Web 浏览器)尝试与 Web 服务器进行通信时,Web 服务器会将身份证书的公共部分发送至客户端。 客户端必须先验证该证书并确保远程计算机可信,然后再向其发送信息。 此种信任将通过信任证书建立。
在部署期间,您的组织必须提供或生成身份证书。 除非您在该证书位置分配新的身份证书,否则该证书将一直处于使用状态,并被分配用于确保入口控制器的安全性。 您可以使用 ArcGIS Enterprise Manager 导入和分配身份证书。 在此发行版本中,一次只能使用一个身份证书,并且只能将其分配给入口控制器组件。
您还可以使用 Kubernetes cert-manager 程序导入 TLS 机密包含的身份证书。
信任证书
信任证书中包含有关证书颁发者或证书颁发机构的信息。 该证书通常以 PEM 格式(.cer 或 .crt 文件)或二进制 .der 文件格式进行存储。 名为证书颁发机构 (CA) 的组织将对证书进行签名,表明该机构已对 Web 服务器的身份以及运行 Web 服务器的组织进行验证。 这些 CA 具有自己的证书,而这些证书能够在各个 Web 浏览器、操作系统和客户端应用程序中得到广泛分发和普遍信任。 信任证书可帮助客户端确定特定的 Web 服务器是否可信。 提供 ArcGIS Enterprise 信任证书有助于确保当 ArcGIS Enterprise 连接到远程计算机时,能够确定远程计算机是否可信。