SSL unilatéral pour les connexions JDBC

Si vous utilisez SSL régulier (unilatéral) avec un connecteur basé sur JDBC, et que vous avez des certificats autosignés, ou des certificats qui sont signés par une autorité de certificat (CA) non publique, vous devez configurer la confiance pour votre certificat.

Avec Tableau, vous pouvez configurer l’approbation SSL unilatérale pour les connexions JDBC à l’aide de l’une des méthodes suivantes :

Intégrer un certificat

Certains connecteurs prennent en charge l’intégration du certificat dans le classeur ou la source de données. Si cette option est disponible, vous pouvez utiliser Tableau Desktop pour intégrer le certificat CA.

Installer un certificat dans le magasin de confiance du système

Si l’intégration n’est pas disponible, vous devez configurer Java Runtime pour qu'il fasse confiance à votre certificat. Il peut d'ailleurs être plus facile de procéder ainsi plutôt que d’intégrer le certificat dans chaque classeur.

Pour Windows :

Vous pouvez installer votre certificat d’autorité de certification ou votre certificat auto-signé dans le magasin de confiance système. Java Runtime recherche les autorités de certification de confiance dans le magasin de confiance racine du système. Il n’effectue pas de recherche dans le stockage de certificats intermédiaires.

Remarque : si vous avez installé votre CA racine, mais que vous avez encore de la difficulté à établir des connexions, il se peut que l’absence de certificats intermédiaires en soit la cause. Bien que la norme TLS exige que les serveurs envoient tous les certificats de leur chaîne à l’exception du certificat racine, tous les serveurs ne sont pas conformes. Si votre serveur n’envoie pas les certificats intermédiaires, vous pouvez soit corriger le serveur pour qu'il transfère correctement les certificats intermédiaires, soit installer les certificats intermédiaires dans le magasin de confiance racine. Vous pouvez également choisir d’intégrer des certificats dans la source de données ou de configurer un magasin de confiance avec les propriétés du pilote.

  1. Dans Windows, recherchez « certificats ».
  2. Sélectionnez Gérer les certificats d'ordinateur.
  3. Dans le menu Action, sélectionnez Toutes les tâches, puis, selon la version Windows, faites l’une des opérations suivantes :
    • Sélectionnez Importer, puis sélectionnez Ordinateur local.
    • Sélectionnez Rechercher des certificats.
  4. Parcourez l'ordinateur pour trouver votre fichier de certificat.
  5. Importez-le dans « Autorités de certification racine approuvées ».

Pour Mac :

Pour installer un certificat personnalisé sur un Mac, suivez ces étapes pour importer le certificat dans le trousseau « System ».

Remarque : le chargement des certificats de keychain sur Mac fonctionne pour la plupart des pilotes, mais pas tous. Dans un petit nombre de cas, vous devrez peut-être utiliser un fichier PROPERTIES pour configurer truststore. Pour plus d'informations, consultez Personnalisation et optimisation des connexions JDBC.

  1. Allez à https://support.apple.com/fr-fr/guide/keychain-access/kyca2431/mac(Link opens in a new window).
  2. Importez le certificat dans le trousseau « System » (et non « System Roots »).
  3. Activez la confiance comme suit :
    1. Dans l’application Trousseaux d’accès, faites un clic droit sur le nouveau certificat.
    2. Sélectionnez Obtenir des informations.
    3. Dans la boîte de dialogue, ouvrez la section Confiance, puis sélectionnez Lors de l'utilisation de ce certificat / Toujours faire confiance.

Remarque : pour les connexions SAP HANA avec les versions Tableau antérieures à 2020.2, vous ajouterez à la place le certificat au JRE sur un Mac. Pour plus de détails, consultez la section « Installer des certificats SSL de confiance sur le Mac » dans la rubrique d'aide du connecteur SAP HANA.

Pour Linux :

De nombreuses distributions Linux généreront un magasin d'approbations au format Java à partir des certificats système. Vous devrez peut-être installer Java à partir du gestionnaire de packages pour que ce fichier soit créé.

Cela permet à JRE d’utiliser les mêmes certificats que le système d’exploitation.

Remarque : Tableau Server recherche ce fichier dans les emplacements standard :
/etc/ssl/certs/java/cacerts
/etc/pki/java/cacerts

Pour configurer un emplacement différent, exécutez :

tsm configuration set -k native_api.ConnectivityTrustStore -v <path-to-cacerts> --force-keys

Ce fichier doit :

  • Contenir tous les certificats CA de confiance et les certificats autosignés.
  • Contenir uniquement des clés publiques.
  • Être au format JKS.
  • Être lisible par l’utilisateur non privilégié Tableau (« exécuter en tant qu'utilisateur »).
  • Utiliser le mot de passe JKS par défaut « changeit »

Pour installer un certificat CA personnalisé ou un certificat autosigné, consultez la documentation de votre distribution. Exécutez les commandes appropriées pour générer le magasin de clés. Par exemple :

update-ca-certificates

Utiliser les propriétés du pilote personnalisées

Vous pouvez personnaliser les options de connexion JDBC, y compris l’emplacement du magasin de confiance avec un fichier de propriétés. Il s’agit d’un fichier en texte brut contenant des paires de valeurs/clés pour chaque paramètre de connexion. Pour plus d’informations sur les paramètres de propriétés spécifiques, consultez la documentation de votre pilote.

Lorsque vous créez le fichier et l’enregistrez à l’emplacement correct, les propriétés du fichier sont appliquées à toutes les connexions JDBC au même type de source de données.

Si vous utilisez le connecteur générique « Autres bases de données (JDBC) », vous pouvez spécifier un fichier de propriétés directement dans la boîte de dialogue de connexion.

Pour plus d'informations, consultez Personnaliser les connexions JDBC en utilisant un fichier de propriétés(Link opens in a new window) dans la communauté Tableau.

Voir également

Merci de vos commentaires !