Einrichten von SSL

In diesem Thema wird beschrieben, wie Sie Ihren Internetinformationsdienste-Webserver (IIS) zur Bereitstellung von Webseiten und anderen Ressourcen über das Secure Hypertext Transfer Protocol (HTTPS) einrichten. HTTPS ist die standardmäßige Vorgehensweise für eine sichere Kommunikation zwischen Client und Server über das Internet. HTTPS ermöglicht eine verschlüsselte Kommunikation, sodass die Informationen, wenn sie abgefangen werden, nicht einfach von Dritten angezeigt und genutzt werden können. Sie sollten sicherstellen, dass alle an den Server übertragenen vertraulichen Informationen durch HTTPS gesichert werden. HTTPS sollte bei jeder Anmeldung verwendet werden, sowie bei Seiten, auf denen Daten übertragen werden, die nur für den Endbenutzer sichtbar sein sollen.

Um Seiten und andere Ressourcen über HTTPS bereitzustellen, müssen Sie ein Zertifikat für Secure Sockets Layer (SSL) anfordern und auf dem IIS-Server installieren. In der Regel erhalten Sie das SSL-Zertifikat von einer Zertifizierungsstelle, die im Allgemeinen von Browsern und anderer internetfähiger Client-Software erkannt wird. Wenn das Zertifikat von einer Zertifizierungsstelle ausgestellt wird, die vom Browser erkannt wird, ist für die Kommunikation mit dem Server keine besondere Aktion durch den Benutzer erforderlich. Deshalb wird dringend empfohlen, für Produktionsserver ein von einer Zertifizierungsstelle ausgestelltes Zertifikat zu verwenden. Weitere Informationen finden Sie unter Erhalten und Installieren eines SSL-Zertifikats von einer Zertifizierungsstelle.

Nachdem auf dem Webserver ein SSL-Zertifikat installiert wurde, können Sie über HTTPS auf Webseiten und andere Ressourcen zugreifen. Wenn die Ressource vertrauliche Informationen enthält, sollten Clients nur über HTTPS auf die Ressource zugreifen können. Weitere Einzelheiten finden Sie unter Vorschreiben der Verwendung von HTTPS.

Zu Entwicklungs- und Testzwecken ist die Verwendung eines selbstsignierten SSL-Zertifikats möglicherweise ausreichend. Solche Zertifikate werden nicht automatisch von Browsern und anderen Clients akzeptiert, weshalb eine Warnmeldung für das Zertifikat angezeigt wird. Weitere Einzelheiten finden Sie unter Verwenden eines selbstsignierten SSL-Zertifikats.

HinweisHinweis:

Dieses Thema enthält Schritte für IIS 6 (Windows Server 2003) und IIS 7 (Windows Vista, Windows 7 und Windows Server 2008). Wenn Sie IIS 5.1 (Windows XP) verwenden, können Sie die Schritte für IIS 6 ausführen.

Feststellen, ob ein SSL-Zertifikat installiert ist

Wenn Sie nicht sicher sind, ob ein SSL-Zertifikat auf dem IIS-Webserver installiert ist, führen Sie folgende Schritte aus:

Schritte für IIS 6

Schritte:
  1. Öffnen Sie Systemsteuerung > Verwaltung > Internet-Informationsdienste.
  2. Erweitern Sie im linken Feld des IIS-Managers das Verzeichnis, um nach dem Server zu suchen. Wählen Sie dann Websites innerhalb des Servers und anschließend Standardwebsite. (Wenn weitere Websites erstellt wurden, müssen Sie diese Schritte ggf. auf die Website anwenden, auf der die ArcGIS Server-Instanzwebsite installiert ist.)
  3. Klicken Sie mit der rechten Maustaste auf Standardwebsite, und wählen Sie Eigenschaften im Kontextmenü aus.
  4. Klicken Sie im Dialogfeld Eigenschaften für die Website auf die Registerkarte Verzeichnissicherheit. Wenn im Abschnitt Sichere Kommunikation dieses Registerkartenfelds die Schaltfläche Zertifikat anzeigen angezeigt wird, ist ein SSL-Zertifikat installiert. Wird die Schaltfläche Zertifikat anfordern angezeigt, ist kein SSL-Zertifikat installiert.

Schritte für IIS 7

Schritte:
  1. Öffnen Sie Systemsteuerung > Verwaltung > Internet-Informationsdienste.
  2. Wählen Sie im Fenster Verbindungen den Computer aus.
  3. Stellen Sie sicher, dass die IIS-Registerkarte Ansicht "Features" ausgewählt ist, und klicken Sie auf Serverzertifikate. Alle installierte Zertifikate sind hier aufgeführt.

Erhalten und Installieren eines SSL-Zertifikats von einer Zertifizierungsstelle

In diesem Abschnitt wird erläutert, wie Sie ein SSL-Zertifikat bei einer Zertifizierungsstelle anfordern und installieren. Für nähere Informationen wenden Sie sich an Ihren Systemadministrator oder externen Berater, oder schlagen Sie in anderen Ressourcen zur Sicherheit nach. Weitere Informationen finden Sie unter Using SSL to Encrypt Confidential Data.

Schritte:
  1. Erstellen Sie mit IIS-Manager eine Anforderung für ein Zertifikat. Anweisungen hierzu finden Sie unter Request a server certificate (IIS 6.0) oder Anfordern eines Internetserverzertifikats (IIS 7).
  2. Senden Sie die Anforderung an eine erkannte Zertifizierungsstelle. Eine Liste von Zertifizierungsstellen, die von Microsoft-Software unterstützt werden, finden Sie unter Microsoft Root Certificate Program Members.
  3. Nachdem Sie das Zertifikat erhalten haben, installieren Sie es auf dem IIS-Server. Anweisungen hierzu finden Sie unter Install a server certificate (IIS 6.0) oder Installieren eines Internetserverzertifikats (IIS 7).
  4. Wenn Sie IIS 7 verwenden, fügen Sie die HTTPS-Bindung zu der Site hinzu. Anweisungen hierzu finden Sie unter Hinzufügen einer Bindung zu einer Site (IIS 7).

Nachdem das Zertifikat installiert wurde, können Clients über das HTTPS-Protokoll auf Seiten und andere Ressourcen zugreifen. Sie können auch festlegen, dass beim Zugreifen auf eine Ressource HTTPS verwendet werden muss. Informationen zum Entfernen eines SSL-Zertifikats finden Sie in der IIS-Dokumentation zu Werkzeugen wie z. B. HTTPCfg (IIS 6.0) oder unter Entfernen eines Serverzertifikats (IIS 7).

SSL-Port auf dem Webserver

SSL-Anforderungen an den Webserver werden an einen bestimmten Port auf dem Server gesendet. Ein Port (oder TCP-Port) teilt dem Zielcomputer mit, von welchem Programm die Anforderung bearbeitet wird. Standardmäßig bearbeiten Webserver SSL-Anforderungen auf Port 443. Wenn der Standardport verwendet wird, müssen Clients den Port in der Anforderung nicht angeben. Wenn ein nicht standardmäßiger Port auf dem Webserver festgelegt wird, dann muss dieser in der URL enthalten sein, z. B. https://gis.example.com:8443/mywebapp.

Sie können einen nicht standardmäßigen SSL-Port für Ihre IIS-Website verwenden, Sie sollten ihn jedoch vor dem Installieren von ArcGIS Server (genauer gesagt der ArcGIS Server-Webanwendungen oder der ArcGIS-Instanz) festlegen. Wenn Sie die ArcGIS Server-Instanz installieren und dann SSL für einen nicht standardmäßigen Port konfigurieren, müssen Sie möglicherweise den Wert des SSL-Ports in ArcGIS Server aktualisieren. Gleichermaßen müssen Sie, wenn Sie den SSL-Port nach dem Konfigurieren von Sicherheit für ArcGIS Server ändern, ArcGIS Server mit der neuen Portnummer aktualisieren.

Sie müssen den SSL-Port in ArcGIS Server nur aktualisieren, wenn Sie Sicherheit für GIS-Web-Services aktiviert haben oder dies beabsichtigen, und wenn die Sicherheit Token verwendet. Die Service-Sicherheit verwendet Token, wenn Sie Benutzer in SQL Server oder bei einem benutzerdefinierten Anbieter speichern.

Führen Sie die folgenden Schritte aus, um die ArcGIS Server-Instanz mit einer neuen oder nicht-standardmäßigen SSL-Portnummer zu aktualisieren:

Schritte:
  1. Öffnen Sie die Datei <ArcGIS-Instanz>\Security\web.config in einem Text- oder XML-Editor. Die <ArcGIS-Instanz> ist in der Regel der Ordner C:\Inetpub\wwwroot\ArcGIS, wenn sich die IIS-Website jedoch an einem anderen Speicherort befindet oder Sie die ArcGIS-Webanwendungen unter einem anderen Namen installiert haben, suchen Sie nach dem Ordner und verwenden Sie dessen Sicherheitsordner.
  2. Suchen Sie in der Sicherheits-web.config nach der Einstellung (der SSL-Portwert kann anders lauten) <add key="SSLPort" value="443" />, und ändern Sie den Wert in die neue SSL-Portnummer. Speichern und schließen Sie die Datei.
  3. Wenn Sie die Sicherheit noch nicht konfiguriert haben, können Sie die verbleibenden Schritte vorerst überspringen. Anderenfalls öffnen Sie ArcGIS Server Manager, melden Sie sich an und navigieren Sie zu Sicherheit > Einstellungen > Konfigurieren.
  4. Befolgen Sie die Anweisungen des Assistenten, um die Sicherheit am gewünschten Benutzer- und Rollenspeicherort zu konfigurieren. Auch wenn Sie die Sicherheit bereits konfiguriert haben, müssen Sie den Vorgang wiederholen, damit der neue SSL-Port übernommen wird.
  5. Testen Sie nach Abschluss des Sicherheits-Assistenten den Zugriff auf die gesicherten Services, um zu überprüfen, ob die Einstellungen ordnungsgemäß übernommen wurden.

Vorschreiben der Verwendung von HTTPS

Sie sollten festlegen, dass Clients HTTPS verwenden müssen, um auf Webseiten und Ressourcen mit vertraulichen Daten zuzugreifen. Hierzu gehören Anmeldeseiten, aber möglicherweise auch ganze Webanwendungen.

Die Verwendung von HTTPS bedeutet zusätzlichen Overhead für die Kommunikation zwischen Client und Server. Sie sollten HTTPS nur für Ressourcen verwenden oder vorschreiben, die nicht für Dritte einsehbar sein sollen.

Wenn Sie HTTPS für einen ArcGIS Server-Service oder –Ordner vorschreiben möchten, können Sie die Verwendung von HTTPS mit ArcGIS Server vorschreiben. Weitere Einzelheiten finden Sie unter Erfordernis von HTTPS für Ordner und Services im Thema "Sichern von Internetverbindungen zu Services".

Sie können auch den IIS-Webserver verwenden, um HTTPS (SSL) für eine Webanwendung, Webseite oder andere Ressource vorzuschreiben:

Schritte für IIS 6

Schritte:
  1. Starten Sie IIS-Manager, indem Sie Systemsteuerung > Verwaltung > Internet-Informationsdienste öffnen.
  2. Erweitern Sie zuerst den Knoten Websites und anschließend die Website, die die Ressource enthält, die auf HTTPS beschränkt werden soll. Standardmäßig stellt IIS in Standardwebsite enthaltene Sites bereit. Navigieren Sie in der Website durch das Verzeichnis, um die Webanwendung, den Ordner, die Webseite oder eine andere Ressource zu suchen, die auf HTTPS beschränkt werden soll.
  3. Klicken Sie mit der rechten Maustaste auf die Ressource, und wählen Sie Eigenschaften.
  4. Klicken Sie auf die Registerkarte Verzeichnissicherheit (oder Dateisicherheit). Klicken Sie auf dieser Registerkarte im Bereich Sichere Kommunikation auf die Schaltfläche Bearbeiten. Wenn diese Schaltfläche nicht verfügbar ist, ist für den IIS-Server kein SSL-Zertifikat installiert. Anweisungen zum Anfordern und Installieren eines Zertifikats finden Sie im vorherigen Abschnitt "Erhalten und Installieren eines SSL-Zertifikats von einer Zertifizierungsstelle".
  5. Aktivieren Sie im eingeblendeten Dialogfeld Sichere Kommunikation das Kontrollkästchen Sicherer Kanal (SSL) erforderlich.
  6. Klicken Sie auf OK, um dieses Dialogfeld sowie das Dialogfeld Eigenschaften für die Ressource zu schließen. Schließen Sie IIS-Manager.
  7. Überprüfen Sie die Einstellungen, indem Sie versuchen, die Ressource mit http://abzurufen. Es wird die Meldung angezeigt, dass HTTPS erforderlich ist. Rufen Sie die Ressource mit https:// ab.

Schritte für IIS 7

Schritte:
  1. Starten Sie IIS-Manager, indem Sie Systemsteuerung > Verwaltung > Internet-Informationsdienste öffnen.
  2. Erweitern Sie zuerst den Knoten Websites und anschließend die Website, die die Ressource enthält, die auf HTTPS beschränkt werden soll. Standardmäßig stellt IIS in Standardwebsite enthaltene Sites bereit. Navigieren Sie in der Website durch das Verzeichnis, um die Webanwendung, den Ordner, die Webseite oder eine andere Ressource zu suchen, die auf HTTPS beschränkt werden soll.
  3. Navigieren Sie durch die Strukturansicht des Servers, und wählen Sie das Element aus, für das Sie die Verwendung von SSL vorschreiben möchten.
  4. Stellen Sie sicher, dass die Ansicht "Features" für IIS aktiviert ist, und doppelklicken Sie dann auf SSL-Einstellungen
  5. Aktivieren Sie SSL erforderlich, und klicken Sie im Bereich Aktionen auf Übernehmen.
  6. Klicken Sie in IIS-Manager auf die Schaltfläche "Zurück", um zur Ansicht "Features" zurückzukehren.
  7. Überprüfen Sie die Einstellungen, indem Sie im Feld Aktionen auf Browse *:80 (http) klicken. Es sollte die Meldung angezeigt werden, dass SSL erforderlich ist. Klicken Sie jetzt im Bereich Aktionen auf Browse *:443 (https), um die Seite mit HTTPS abzurufen.

Beachten Sie, dass Clients nicht automatisch zur HTTPS-URL einer Ressource weitergeleitet werden, wenn sie eine Seite oder eine Ressource über HTTP anfordern, für die HTTPS erforderlich ist. Solche Anforderungen können programmgesteuert weitergeleitet werden (im Internet finden Sie zahlreiche Entwicklerressourcen), es sind jedoch keine Standardwerkzeuge hierfür verfügbar. Stellen Sie sicher, dass die Benutzer beachten, dass sie über https:// auf die Ressource zugreifen müssen.

Verwenden eines selbstsignierten SSL-Zertifikats

Zu Entwicklungs- und Testzwecken kann die Verwendung eines selbstsignierten SSL-Zertifikats angemessen sein. Für Produktionssites wird die Verwendung eines selbstsignierten Zertifikats nicht empfohlen. Beim Laden einer Ressource von einer Site, die ein selbstsigniertes Zertifikat verwendet, wird Browser-Benutzern eine Sicherheitswarnung angezeigt. Sie sollten einem selbstsignierten Zertifikat nur dann vertrauen, wenn Sie die Identität des Servers und der Organisation, mit der Sie eine Verbindung herstellen, kennen. Abgesehen von Browser-Problemen haben einige Serveranwendungen möglicherweise Probleme beim Erkennen von selbstsignierten Zertifikaten. Die folgenden Schritte enthalten einige Tipps für manche Serveranwendungen, für andere Arten von Anwendungen müssen Sie das Zertifikat für den Server jedoch unter Umständen so installieren, dass es vom Server und der Anwendung anerkannt wird.

Es gibt verschiedene Möglichkeiten, selbstsignierte Zertifikate zu erstellen. Informationen zu den verschiedenen Vorgehensweisen erhalten Sie in Texten zu Sicherheit, bei Sicherheitsexperten oder auf Websites.

In IIS 7 kann ein selbst signiertes Zertifikat mithilfe von IIS-Manager erstellt werden. Anweisungen finden Sie unter Erstellen eines selbstsignierten Serverzertifikats in IIS 7. Wenn Sie ein selbstsigniertes Serverzertifikat erstellen, müssen Sie die HTTPS-Bindung zu der Site hinzufügen. Anweisungen hierzu finden Sie unter Hinzufügen einer Bindung zu einer Site (IIS 7).

In IIS 6 müssen Sie ein selbstsigniertes Zertifikat mithilfe von SelfSSL aus dem IIS 6.0 Ressource Kit erstellen. Die genaue Vorgehensweise wird in den folgenden Schritten erläutert.

Schritte:
  1. Laden Sie das IIS 6.0 Ressource Kit von Microsoft herunter und installieren Sie es. Installieren Sie mindestens das Werkzeug SelfSSL. Andere Werkzeuge sind optional.
    HinweisHinweis:

    Dieses Werkzeug wird von Windows Server 2003 und Windows XP unterstützt. Für andere Plattformen ist möglicherweise ein anderes Werkzeug erforderlich.

  2. Führen Sie SelfSSL aus, und installieren Sie das Zertifikat auf dem IIS-Computer:
    1. Klicken Sie auf dem IIS-Computer auf Start > Programme > IIS Resources > SelfSSL > SelfSSL. Daraufhin wird eine Eingabeaufforderung für den SelfSSL-Speicherort geöffnet.
    2. Geben Sie den Befehl ein, um ein Zertifikat zu erstellen und zu installieren. In diesem Beispiel wird ein Zertifikat für 365 Tage für den Server als www.example.com erstellt, dem vom lokalen Browser vertraut wird: SelfSSL /V:365 /N:CN=www.example.com /T
    3. Das Namensargument muss (N) auf den Namen festgelegt werden, den Benutzer für den Server eingeben. Weitere Informationen zu Optionen, z. B. das Installieren auf einer nicht standardmäßigen IIS-Website, finden Sie in der SelfSSL-Hilfe.
    4. Schließen Sie das SelfSSL-Fenster, indem Sie exit eingeben und die EINGABETASTE drücken.
  3. Testen Sie das Zertifikat, indem Sie einen Browser öffnen und mit https:// eine Seite auf dem Server laden. Es wird die Meldung angezeigt, dass das Zertifikat nicht von einer bekannten Zertifizierungsstelle stammt. Klicken Sie um fortzufahren, und die Seite wird normal geladen.
  4. Wenn Sie gesicherte ArcGIS-Services in einer Web ADF-Anwendung verwenden, die auf einem anderen Server ausgeführt wird, importieren Sie das Zertifikat in den Zertifikatspeicher des lokalen Computers. Weitere Informationen finden Sie in den Anweisungen unten.

Das Zertifikat wird nur erkannt, wenn es mit dem im N-Argument oben angegebenen Namen (oder dem Computernamen, falls N nicht angegeben ist) angefordert wird. Wenn z. B. der Standardcomputername "myserver" verwendet wird und der Client die Seite mit dem vollständig qualifizierten Domänennamen myserver.example.com anfordert, gibt der Client die Warnung aus, dass der Name auf dem Zertifikat nicht mit der Anforderung übereinstimmt.

Installieren des selbstsignierten Zertifikats auf Client-Computern

Bei einem selbstsignierten Zertifikat zeigt der Client zu Beginn jeder Sitzung mit dem Server eine Warnung an. Wenn Sie eine Web ADF-Anwendung erstellen, die einen gesicherten Service auf einem Server mit einem selbstsignierten Zertifikat verwendet, funktioniert der Service möglicherweise in der Anwendung nicht. Um diese Sicherheitswarnungen und Probleme zu vermeiden, können Sie das Zertifikat vom Server exportieren und es auf Client-Computern importieren. Dies sollte nur zu internen Test- und Entwicklungszwecken, jedoch nicht für Produktionssites geschehen.

Exportieren des Zertifikats in IIS 6

Schritte:
  1. Öffnen Sie IIS-Manager, und navigieren Sie zu Ihrer Standardwebsite.
  2. Klicken Sie mit der rechten Maustaste auf Standardwebsite, und wählen Sie dann Eigenschaften aus.
  3. Klicken Sie auf der Registerkarte Verzeichnissicherheit unter Sichere Kommunikation auf Zertifikat anzeigen.
  4. Klicken Sie im Fenster Zertifikat auf die Registerkarte Details und dann auf In Datei kopieren.
  5. Übernehmen Sie im Zertifikatexport-Assistenten alle Standardeinstellungen (privaten Schlüssel nicht exportieren; DER-Format verwenden), geben Sie den Namen der Datei ein (z. B. mymachine-ssl-cert-export.cer), und klicken Sie dann auf Fertig stellen. Standardmäßig wird die Zertifikatsdatei unter \Windows\System32\inetsrv\ abgelegt, Sie können sie jedoch an jedem beliebigen Speicherort speichern.
  6. Machen Sie das Zertifikat per E-Mail, Dateifreigabe oder auf dem Webserver für Client-Computer verfügbar.

Exportieren des Zertifikats in IIS 7

Schritte:
  1. Öffnen Sie IIS-Manager, und wählen Sie Ihren Computer aus.
  2. Doppelklicken Sie in der Ansicht "Features" von IIS auf Serverzertifikate.
  3. Klicken Sie auf das Zertifikat, das Sie exportieren möchten.
  4. Klicken Sie im Feld Aktionen auf Ansicht.
  5. Klicken Sie im Fenster Zertifikat auf die Registerkarte Details und dann auf In Datei kopieren.
  6. Übernehmen Sie im Zertifikatexport-Assistenten alle Standardeinstellungen (privaten Schlüssel nicht exportieren; DER-Format verwenden), geben Sie den Namen der Datei ein (z. B. mymachine-ssl-cert-export.cer), und klicken Sie auf Fertig stellen. Standardmäßig wird die Zertifikatsdatei unter \Windows\System32\inetsrv\ abgelegt, Sie können sie jedoch an jedem beliebigen Speicherort speichern.
  7. Machen Sie das Zertifikat per E-Mail, Dateifreigabe oder auf dem Webserver für Client-Computer verfügbar.

Sobald das Zertifikat verfügbar ist, fahren Sie mit den entsprechenden Schritten unten fort, um es auf einen Client-Computer zu importieren.

Importieren eines Zertifikats in IIS 6

Schritte:
  1. Fordern Sie eine Kopie der zuvor erstellten Zertifikatsdatei an, und speichern Sie sie lokal.
  2. Doppelklicken Sie auf die CER-Datei, um Informationen zum Zertifikat anzuzeigen.
  3. Klicken Sie auf Zertifikat installieren.
  4. Wenn der Zertifikatimport-Assistent geöffnet wird, klicken Sie auf Weiter.
  5. Geben Sie im Fenster Zertifikatspeicher des Assistenten an, wo das Zertifikat installiert werden soll.
    • Wenn der Computer nur Client-Anwendungen (ArcGIS Desktop oder Browser) ausführt, wählen Sie die Option Zertifikatspeicher automatisch auswählen (auf dem Zertifikatstyp basierend) aus.
    • Wenn der Computer ein Webserver ist, der .NET Web ADF-Anwendungen bereitstellt, klicken Sie auf die Option Alle Zertifikate in folgendem Speicher speichern. Klicken Sie dann auf die Schaltfläche Durchsuchen, und aktivieren Sie im eingeblendeten Dialogfeld Zertifikatspeicher auswählen die Option Physikalischen Speicher anzeigen. Erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen, und wählen Sie den Ordner Lokaler Computer aus. Klicken Sie auf OK, um zum Zertifikatimport-Assistenten zurückzukehren.
      HinweisHinweis:

      Wenn der Computer, wie oben erläutert, Client-Anwendungen ausführt, führen Sie den Import-Assistenten nach Durchführung von Schritt 6 erneut aus, und installieren Sie das Zertifikat mit der Option Zertifikatspeicher automatisch auswählen.

  6. Klicken Sie auf Weiter und dann auf Fertig stellen. Es wird die Meldung angezeigt, dass der Zertifikatimport erfolgreich war. Schließen Sie das Dialogfeld Zertifikat.

Importieren eines Zertifikats in IIS 7

Schritte:
  1. Klicken Sie auf Start, geben Sie dann im Suchfeld mmc.exe ein, und klicken Sie auf OK.
  2. Klicken Sie in Microsoft Management Console (MMC) auf Datei und dann auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie auf Zertifikate und anschließend auf die Schaltfläche Hinzufügen.
  4. Klicken Sie auf Eigenes Benutzerkonto und anschließend auf Fertig stellen.
  5. Klicken Sie im Dialogfeld Snap-Ins hinzufügen bzw. entfernen auf OK. Dem MMC-Fenster wird das Snap-In "Zertifikate" hinzugefügt.
  6. Erweitern Sie den Knoten Zertifikate > Aktueller Benutzer, und erweitern Sie dann Vertrauenswürdige Stammzertifizierungsstellen, um den untergeordneten Knoten Zertifikate anzuzeigen.
  7. Klicken Sie mit der rechten Maustaste auf den Knoten Zertifikate, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren.
  8. Wenn der Zertifikatimport-Assistent geöffnet wird, klicken Sie auf Weiter, klicken Sie dann im Fenster Zu importierende Datei auf Durchsuchen, und navigieren Sie zu der Zertifikatsdatei, die Sie lokal gespeichert haben. Wählen Sie die Datei im Dialogfeld Öffnen aus, und klicken Sie auf Öffnen. Der Pfad und der Name werden im Fenster Zu importierende Datei angezeigt.
  9. Klicken Sie auf Weiter. Überprüfen Sie im Fenster Zertifikatspeicher, dass die Option Alle Zertifikate in folgendem Speicher speichern aktiviert ist, und dass der Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen angezeigt wird. Klicken Sie auf Weiter.
  10. Zeigen Sie die zusammengefassten Informationen für den Zertifikatimport an, und klicken Sie dann auf Fertig stellen.
  11. Klicken Sie bei der Sicherheitswarnung auf Ja und dann auf OK.
  12. Wenn der Computer ein Webserver ist, der .NET Web ADF-Anwendungen bereitstellt, wiederholen Sie Schritt 2 bis 11, wählen Sie jedoch in Schritt 4 die Option Computerkonto anstelle von Eigenes Benutzerkonto aus.

Sobald Sie diese Schritte ausführen, können Internet Explorer und andere IE-basierte Clients ohne Warnungen HTTPS mit dem Server verwenden. Bei anderen Browsern als Internet Explorer muss das Zertifikat möglicherweise separat akzeptiert werden.

Wenn über eine ArcGIS Server Java Web ADF-Anwendung auf die GIS-Web-Services zugegriffen wird, müssen Sie das Zertifikat in der Java Runtime Environment (JRE) des Java-Managers mit dem Keytool installieren. Bei einer erneuten Bereitstellung der Anwendung auf einem anderen Webserver müssen Sie das Zertifikat zur JRE des Webservers hinzufügen.

Vorschreiben der Verwendung von SSL für die Anmelde- und Verwaltungsseite des Services-Verzeichnisses

Standardmäßig verwendet das Services-Verzeichnis für alle Seiten HTTP. Da bei der Anmeldung beim Services-Verzeichnis Anmeldeinformationen an den Server übermittelt werden, sollten Sie für die Anmeldungs- und Verwaltungsseiten die Verwendung von HTTPS vorschreiben, nachdem Sie SSL auf dem Server konfiguriert haben. Um die Verwendung von SSL für diese Seiten vorzuschreiben, führen Sie folgende Schritte aus:

Schritte:
  1. Öffnen Sie die Datei "<ArcGIS Server-Instanz>\rest\rest.config" in einem Text-Editor. Wenn z. B. der Instanzname ArcGIS lautet und IIS auf dem Laufwerk C: installiert ist, würde der Pfad c:\Inetpub\wwwroot\ArcGIS\rest\rest.config lauten.
  2. Suchen Sie nach dem Element UseSslForLoginAndAdmin unten in der Datei.
  3. Ändern Sie den Inhalt des Elements in true.
  4. Speichern und schließen Sie die Datei.

Wenn Benutzer nun auf den Anmelde-Link klicken oder Administratoren zur REST-Verwaltungsseite navigieren, werden sie zu einer HTTPS-URL weitergeleitet, um ihre Anmeldeinformationen zu schützen.


3/6/2012