Envägs-SSL för JDBC-anslutningar

Om du använder en vanlig (envägs) SSL med en JDBC-baserad koppling och du har självsignerade certifikat eller certifikat som signeras av en icke-offentlig certifikatutfärdare (CA), måste du konfigurera förtroende för certifikatet.

Med Tableau kan du konfigurera envägs-SSL för JDBC-anslutningar med hjälp av en av följande metoder:

Bädda in ett certifikat

Vissa kopplingar har stöd för inbäddning av certifikat i arbetsboken eller datakällan. Om detta alternativ är tillgängligt kan du använda Tableau Desktop till att bädda in CA-certifikatet.

Installera ett certifikat i systemets förtroendearkiv

Om inbäddning inte är tillgängligt måste du konfigurera Java Runtime så att det litar på certifikatet. Det kan vara lättare att göra detta än att bädda in certifikatet i alla arbetsböcker.

För Windows:

Du kan installera CA-certifikatet eller det självsignerade certifikatet i Windows förtroendearkiv för rotcertifikatutfärdaren. Java Runtime söker efter betrodda certifikatutfärdare i systemrotens förtroendearkiv. Det söker inte i den mellanliggande certifikatlagringen.

Obs! Om du har installerat rotcertifikatutfärdaren men fortfarande har problem med att skapa anslutningar kan det hända att problemen uppstår på grund av att mellanliggande certifikat saknas. Även om TLS-standarden innebär att servrar måste skicka alla certifikat i kedjan utom rotcertifikatet uppfyller inte alla servrar detta krav. Om din server inte skickar de mellanliggande certifikaten kan du antingen fixa servern så att den vidarebefordrar mellanliggande certifikat eller installera de mellanliggande certifikaten i rotförtroendearkivet. Alternativt kan du välja att bädda in certifikat i datakällan eller konfigurera ett förtroendearkiv med drivrutinsegenskaper.

  1. I Windows söker du efter ”certifikat”.
  2. Välj Hantera datorcertifikat.
  3. Från menyn Åtgärder väljer du Alla uppgifter och gör sedan något av följande, beroende på vilken Windows-version du har:
    • Välj Importera och sedan Lokal dator.
    • Välj Hitta certifikat.
  4. Bläddra för att hitta certifikatfilen.
  5. Importera till ”Betrodda rotcertifikatutfärdare”.

För Mac:

Du installerar ett anpassat certifikat på en Mac genom att följa dessa steg och importera certifikatet till nyckelringen ”System”.

Obs! Att läsa in certifikat från nyckelring på Mac fungerar för de flesta, men inte alla, drivrutiner. I ett fåtal fall kan du behöva använda filen EGENSKAPER för att konfigurera förtroendearkivet. Mer information finns i Anpassa och justera anslutningar.

  1. Gå till https://support.apple.com/guide/keychain-access/add-certificates-to-a-keychain-kyca2431/mac(Länken öppnas i ett nytt fönster).
  2. Importera certifikatet till nyckelringen ”System” (inte ”Systemrötter”).
  3. Aktivera förtroende på följande sätt:
    1. I nyckelringsprogrammet högerklickar du på det nya certifikatet.
    2. Välj Hämta info.
    3. I dialogrutan öppnar du avsnittet Förtroende och väljer Lita alltid på detta certifikat.

Obs! För SAP HANA-anslutningar med Tableau-versioner för 2020.2 lägger du till certifikatet till JRE i stället för på en Mac. Mer information finns i avsnittet ”Installera betrodda SSL-certifikat på Mac” i hjälpavsnittet för SAP HANA-kopplingen.

För Linux:

Många Linux-distributioner genererar ett förtroendearkiv i Java-format från systemcertifikaten. Det kan hända att du måste installera Java från pakethanteraren för att den här filen ska skapas.

Detta gör att JRE använder samma certifikat som operativsystemet.

Obs! Tableau Server söker efter den här filen på de vanliga platserna:
/etc/ssl/certs/java/cacerts
/etc/pki/java/cacerts

Du kan konfigurera en annan plats genom att köra:

tsm configuration set -k native_api.ConnectivityTrustStore -v <path-to-cacerts> --force-keys

Den här filen ska:

  • Innehålla alla betrodda certifikatutfärdare och självsignerade certifikat.
  • Endast innehålla offentliga nycklar.
  • Vara i JKS-format.
  • Vara läsbar av Tableau-opriviligierade användare (”kör som användare”).
  • Använda standardlösenordet för JKS ”changeit”.

Mer information om hur du installerar ett anpassat CA-certifikat eller självsignerat certifikat finns i dokumentationen för distributionen. Kör lämpliga kommandon för att generera nyckelarkivet. Exempel:

update-ca-certificates

Använda anpassade drivrutinsegenskaper

Du kan anpassa JDBC-anslutningsalternativen, inklusive platsen för förtroendearkivet, med en egenskapsfil. Det är en oformaterad textfil som innehåller nyckelvärdepar för varje anslutningsparameter. Mer information om specifika egenskapsinställningar finns i dokumentationen för drivrutinen.

Till exempel används linjer i den här egenskapsfilen för att konfigurera förtroendeinställningar:

javax.net.ssl.trustStore=C:\\My_Folder\\truststore.jks
javax.net.ssl.trustStoreType=JKS
javax.net.ssl.trustStorePassword=password

När du skapar filen och sparar den på rätt plats tillämpas egenskaperna i filen på alla JDBC-anslutningar till samma typ av datakälla.

Om du använder den allmänna kopplingen ”Annan databas (JDBC)” kan du ange en egenskapsfil direkt i anslutningsdialogen.

Mer information finns i Anpassa och justera anslutningar(Länken öppnas i ett nytt fönster).

Se även

Tack för din feedback!Din feedback har skickats in. Tack!