Konfigurieren von TLS auf dem Independent Gateway

TLS-Unterstützung für Independent Gateway ist in Tableau Server 2022.1.2 und höher enthalten.

Sowohl Tableau Server als auch Tableau Server Independent Gateway verwenden das SSL-Modul (mod_ssl), das mit OpenSSL erstellt wurde, um Transport Layer Security (TLS)-Funktionen zu implementieren.

Aufgrund der Komplexität und des sicherheitsrelevanten Charakters empfehlen wir, dass die TLS-Konfiguration von einem IT-Experten geplant und implementiert wird, der mit TLS auf Apache httpd vertraut ist.

In vielen Fällen verwenden wir "SSL" in den Namen von Elementen aus Gründen der Kompatibilität mit bestehenden TSM- oder Apache httpd-Konfigurationseigenschaften oder -Konzepten. "SSL" bezieht sich eigentlich auf Protokollversionen, die als unsicher und veraltet gelten. Die alte Bezeichnung bleibt jedoch bestehen und wird häufig als Konvention mit TLS gleichgesetzt. Tableau Server und Independent Gateway unterstützen keine Protokolle der SSL-Ära.

Beispiel für die TLS-Konfiguration

Ein End-to-End-TLS-Konfigurationsbeispiel finden Sie unter Konfigurieren von SSL/TLS vom Lastenausgleich zu Tableau Server(Link wird in neuem Fenster geöffnet) im Handbuch zu Tableau Server Enterprise-Bereitstellung (Enterprise Deployment Guide, EDG). Das Thema zeigt ein Schritt-für-Schritt-Beispiel für die Konfiguration von TLS auf Tableau Server unter Linux in einer AWS-Bereitstellung. Obwohl das Beispiel den Prozess für Linux beschreibt, ist das Konfigurationsbeispiel auch für Tableau Server unter Windows nützlich.

Übersicht über die TLS-Konfiguration

Sie können TLS für HTTPS auf jedem der folgenden Abschnitte des Pfades vom Internet zu Tableau Server konfigurieren:

  • Vom externen Netzwerk (Internet oder Lastausgleich am Front-End) zum Independent Gateway
  • Vom Independent Gateway zu Tableau Server
  • Für den Housekeeping (HK)-Prozess von Tableau Server zu Independent Gateway

In diesem Thema werden Verfahren zur Konfiguration jedes dieser Hops beschrieben.

Sie müssen Konfigurationsänderungen an Independent Gateway-Computern und an dem Tableau Server-Cluster vornehmen.

Zertifikatsanforderungen und Überlegungen

Die Zertifikatsanforderungen für Independent Gateway sind die gleichen wie die für "externes SSL" von Tableau Server. Siehe SSL-Zertifikatsanforderungen.

Andere Überlegungen:

  • Um die Verwaltung und Bereitstellung von Zertifikaten zu vereinfachen – und als Best Practice in Sachen Sicherheit – empfehlen wir die Verwendung von Zertifikaten, die von einer namhaften vertrauenswürdigen Zertifizierungsstelle (CA) eines Drittanbieters generiert wurden. Alternativ dazu können Sie auch selbstsignierte Zertifikate generieren oder Zertifikate von einer PKI für TLS verwenden. Achten Sie in diesem Fall auf die Konfigurationsoptionen für vertrauenswürdige CA-Zertifikate und die Validierung von Zertifikaten.
  • Wenn für Ihre Implementierung die Verwendung einer Zertifikatskettendatei erforderlich ist, finden Sie weitere Informationen dazu in dem Knowledgebase-Artikel Configure TLS on Independent Gateway when using a certificate that has a certificate chain(Link wird in neuem Fenster geöffnet) (Konfigurieren von TLS für das Independent Gateway bei Verwendung eines Zertifikates mit einer Zertifikatskette).
  • Wenn Sie mehrere Instanzen von Independent Gateway ausführen, müssen Sie die Zertifikate auf jedem Computer am selben Ort (Dateipfad) verteilen.
  • Wenn Sie eine Tableau Server-Bereitstellung mit mehr als einem Knoten betreiben, werden Zertifikate, die Sie mit TSM-Befehlen hochladen, automatisch auf die Knoten verteilt. Führen Sie alle TSM-Befehle auf dem Anfangsknoten aus.

Globale TLS-Konfigurationen

Die folgenden Konfigurationen sind global. Die folgenden Konfigurationsoptionen beziehen sich auf Konfigurationsschlüssel, die mit dem Befehl tsm configuration set festgelegt werden müssen. Die Befehle müssen die Option --force-keys enthalten.

Es ist unwahrscheinlich, dass Sie diese Werte ändern müssen.

Beachten Sie, dass jedes Schlüsselpaar das gleiche Namensformat hat, wobei die Zeichenfolge tsig den Wert für das Independent Gateway festlegt. Der Schlüssel, der die Zeichenfolge tsig nicht enthält, legt den Wert für den Gateway-Prozess auf dem Tableau Server-Cluster fest.

Wenn Sie keinen Wert für den tsig-Schlüssel festlegen, wird der Standardwert für das Tableau Server-Gateway verwendet.

gateway.tsig.httpd.socache oder gateway.httpd.socache

Standard: shmcb

Alternativer Wert: dbm

Der Speichertyp des prozessübergreifenden SSL-Sitzungscaches. Weitere Informationen zu den Speichertypen "shmcb" und "dbm" finden Sie unter SSLSessionCache Directive(Link wird in neuem Fenster geöffnet) auf der Apache-Website.

gateway.tsig.httpd.shmcb.size oder gateway.httpd.shmcb.size

Standard: 2048000

Speichermenge in Bytes, die für den Ringpuffer verwendet werden soll, wenn der Speichertyp shmcb verwendet wird.

Hinweis: Ein weiterer globaler Schlüssel ist gateway.tsig.ssl.key.passphrase.dialog. Gegebenenfalls gibt es nur eine einzige Konfiguration für gateway.tsig.ssl.key.passphrase.dialog. Standardmäßig werden Passphrasen für alle verschlüsselten privaten Schlüsseldateien in der Konfiguration gesammelt. Die Verwendung dieses Schlüssels wird in den entsprechenden Abschnitten weiter unten in diesem Thema beschrieben.

Externes TLS zu Independent Gateway

Der Prozess der Konfiguration externer Verbindungen zur Beendigung von TLS auf den Independent Gateway-Servern ist konzeptionell ähnlich wie die Konfiguration von "externem SSL" für einen Tableau Server-Cluster. Die Mechanismen sind unterschiedlich. TSM verteilt nicht automatisch Zertifikats- und Schlüsselmaterial an Independent Gateway-Knoten. Darüber hinaus bietet Independent Gateway nicht automatisch eine Möglichkeit, die optionale TLS-Schlüsselpassphrase beim Start anzugeben.

In den folgenden Schritten wird beschrieben, wie TLS von einer externen Quelle für Independent Gateway-Computer konfiguriert wird.

Schritt 1: Verteilen von Dateien an Independent Gateway-Computer

  1. Legen Sie die Zertifikate und zugehörigen Dateien an einem Ort und mit Berechtigungen ab, die es dem unabhängigen Gateway-Dienst (tsig-httpd) ermöglichen, sie zu lesen. Wir empfehlen, den Zugriff auf die Schlüsseldateien so einzuschränken, dass nur der Independent Gateway-Dienst sie lesen kann.
  2. Legen Sie alle Dateien, Zertifikate und Schlüssel auf allen Independent Gateway-Computern an exakt denselben Speicherorten ab. Legen Sie die Dateien außerhalb der Pfade TSIG_INSTALL und TSIG_DATA ab, damit sie nicht entfernt werden, wenn Sie Independent Gateway neu installieren oder aktualisieren.

Schritt 2: Aktualisieren von Umgebungsvariablen auf Independent Gateway-Computern

Legen Sie auf jedem Independent Gateway-Computer die Umgebungsvariablen TSIG_PORT und TSIG_PROTOCOL auf 443 (per Konvention, aber jede unbenutzte TCP-Portnummer wird unterstützt) bzw. https fest.

Ändern Sie diese Werte, indem Sie die Umgebungsvariablen TSIG_PORT und TSIG_PROTOCOL in environment.bash aktualisieren.

In der Standardeinstellung befindet sich environment.bash unter /etc/opt/tableau/tableau_tsig.

Nachdem Sie die Datei aktualisiert haben, müssen Sie tsig-httpd neu starten:

sudo su - tableau-tsig
systemctl --user restart tsig-httpd
exit

Schritt 3: Festlegen der TLS-Konfigurationseigenschaften auf Tableau Server

Die meisten der TSM-Konfigurationsschlüssel in der folgenden Tabelle sind von Apache httpd-Direktiven abgeleitet. Die Konfigurationswerte für diese TSM-Konfigurationsschlüssel entsprechen daher direkt den gültigen Werten für die entsprechende Apache-Direktive. Links zu entsprechenden Direktiven sind in der folgenden Tabelle enthalten.

In einigen Fällen verwendet die Konfiguration Fallback-Konfigurationen, wenn ein bestimmter Schlüssel nicht festgelegt ist. Diese sind in der folgenden Tabelle aufgeführt.

Die Konfigurationsoptionen in der folgenden Tabelle beziehen sich auf Konfigurationsschlüssel, die Sie mit dem Befehl tsm configuration set festlegen müssen. Alle Befehle müssen die Option --force-keys enthalten. Beispiel:

tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys

Nachdem Sie die Konfigurationsschlüssel festgelegt haben, müssen Sie tsm pending-changes apply ausführen.

KonfigurationseigenschaftBeschreibungEntsprechende Apache-Direktive
gateway.tsig.ssl.enabled

Erforderlich.

Aktiviert TLS. Muss auf true gesetzt werden.

k. A.
gateway.tsig.ssl.cert.file_name

Erforderlich.

Pfad + Dateiname der Zertifikatsdatei für Independent Gateway. Zum Beispiel: /etc/ssl/certs/tsig-ssl.crt.

SSLCertificateFile(Link wird in neuem Fenster geöffnet)
gateway.tsig.ssl.key.file_name

Erforderlich.

Pfad + Dateiname der Zertifikatsschlüsseldatei für Independent Gateway. Zum Beispiel: /etc/ssl/keys/tsig-ssl.key.

SSLCertificateKeyFile(Link wird in neuem Fenster geöffnet)
gateway.tsig.ssl.key.passphrase.dialogWenn Ihr Schlüssel eine Passphrase erfordert, müssen Sie diesen Schlüssel mit der korrekten Zeichenfolge konfigurieren, die von der Apache httpd-Direktive "SSLPassPhraseDialog" erwartet wird. Geben Sie nicht die tatsächliche Passphrase für diesen Schlüssel ein. Informationen zur Konfiguration dieses Schlüssels finden Sie in der Apache-Dokumentation.
Diese Konfiguration gilt global für Independent Gateway.
SSLPassPhraseDialog(Link wird in neuem Fenster geöffnet)

gateway.tsig.ssl.protocols

Fallback: ssl.protocols

Geben Sie die unterstützten Versionen von SSL/TLS an. Weitere Informationen zur Standardkonfiguration finden Sie unter Checkliste für die Absicherung.SSLProtocols(Link wird in neuem Fenster geöffnet)

gateway.tsig.ssl.ciphersuite

Fallback: ssl.ciphersuite

Gibt die Verschlüsselungen an, die der Client für die SSL-Verbindung aushandeln darf.SSLCipherSuite(Link wird in neuem Fenster geöffnet)
gateway.tsig.ssl.client_certificate_login.required

Setzen Sie diesen Wert auf true , um gegenseitiges TLS für diese Verbindung zu aktivieren.

Sie müssen auch die Eigenschaft gateway.tsig.ssl.cacert.file wie unten angegeben festlegen.

k. A.
gateway.tsig.ssl.cacert.fileGibt die Datei an, die die verketteten CA-Zertifikate für den Clientauthentifizierungsprozess enthält.SSLCACertificateFile(Link wird in neuem Fenster geöffnet)
gateway.tsig.ssl.revocation.fileGibt die Datei an, die die verketteten CA-Sperrlisten für Clients enthält, die eine Verbindung zu Independent Gateway herstellen.SSLCARevocationFile(Link wird in neuem Fenster geöffnet)
gateway.tsig.ssl.redirect

Wenn Independent Gateway für TLS konfiguriert wurde, erzwingt diese Option, dass Clientanfragen von Port 80 auf TLS umgeleitet werden.

Standard: true.

k. A.
gateway.tsig.ssl.redirect_from_port

Wenn gateway.tsig.ssl.redirect auf true eingestellt ist, können Sie mit dieser Option den Port angeben, von dem der Datenverkehr umgeleitet wird.

Standard: 80.

k. A.

Independent Gateway zu Tableau Server

In diesem Abschnitt wird beschrieben, wie Sie die Verbindung zwischen Independent Gateway und Tableau Server verschlüsseln.

Schritt 1: Konfigurieren und Aktivieren von TLS auf Tableau Server

Siehe Konfigurieren von SSL für den externen HTTP-Verkehr von und an Tableau Server.

Beachten Sie, dass "SSL" eigentlich eine TLS-Implementierung ist und "extern" sich auf eine externe Verbindung zu Tableau Server bezieht. In diesem Szenario ist das Independent Gateway die "externe" Verbindung.

Wir empfehlen, vor der Konfiguration von Independent Gateway zu überprüfen, ob die Clients eine direkte TLS-Verbindung zu Tableau Server herstellen können.

Schritt 2: Verteilen von Zertifikatdateien auf Independent Gateway-Computern

Sie müssen Zertifikatdateien auf den Independent Gateway-Computern verteilen, wenn einer der folgenden Punkte zutrifft:

  • Sie verwenden selbstsignierte oder PKI-Zertifikate für die TLS-Zertifikate in der Tableau Server-Bereitstellung.
  • Sie aktivieren gegenseitiges TLS für die Verbindung von Independent Gateway zu Tableau Server.

Wie bei allen TLS-bezogenen Dateien auf Independent Gateway-Computern müssen Sie die Dateien auf jedem Computer in denselben Pfaden ablegen. Alle Dateinamen für gemeinsam genutzte TLS-Dateien müssen ebenfalls gleich lauten.

Schritt 3: Festlegen der TLS-Konfigurationseigenschaften auf Tableau Server

Die meisten der TSM-Konfigurationsschlüssel in der folgenden Tabelle sind von Apache httpd-Direktiven abgeleitet. Die Konfigurationswerte für diese TSM-Konfigurationsschlüssel entsprechen daher direkt den gültigen Werten für die entsprechende Apache-Direktive. Links zu entsprechenden Direktiven sind in der folgenden Tabelle enthalten.

In einigen Fällen verwendet die Konfiguration Fallback-Konfigurationen, wenn ein bestimmter Schlüssel nicht festgelegt ist. Diese sind in der folgenden Tabelle aufgeführt.

Die Konfigurationsoptionen in der folgenden Tabelle beziehen sich auf Konfigurationsschlüssel, die Sie mit dem Befehl tsm configuration set festlegen müssen. Alle Befehle müssen die Option --force-keys enthalten. Beispiel:

tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys

Nachdem Sie die Konfigurationsschlüssel festgelegt haben, müssen Sie tsm pending-changes apply ausführen.

KonfigurationseigenschaftBeschreibungEntsprechende Apache-Direktive

gateway.tsig.ssl.proxy.cacertificatefile

Wenn Ihre Organisation ein selbstsigniertes oder PKI-generiertes TLS-Zertifikat für Tableau Server verwendet, müssen Sie einen Pfad zur Zertifikatdatei der Stammzertifizierungsstelle angeben. Diese Zertifikatdatei der Stammzertifizierungsstelle muss auf den Independent Gateway-Computern gespeichert werden.SSLProxyCACertificateFile (Link wird in neuem Fenster geöffnet)

gateway.tsig.ssl.proxy.protocols

Fallback: ssl.protocols

Geben Sie die unterstützten Versionen von SSL/TLS an. Weitere Informationen zur Standardkonfiguration finden Sie unter Checkliste für die Absicherung.SSLProtocols(Link wird in neuem Fenster geöffnet)

gateway.tsig.ssl.proxy.ciphersuite

Fallback: ssl.ciphersuite

Gibt die Verschlüsselungen an, die der Client für die SSL-Verbindung aushandeln darf.SSLCipherSuite(Link wird in neuem Fenster geöffnet)
gateway.tsig.ssl.proxy.machinecertificatefileFür gegenseitiges TLS. Gibt die Datei an, die verkettete Zertifikatschlüsselpaare für die Authentifizierung des Independent Gateway gegenüber Tableau Server enthält.SSLProxyMachineCertificateFile(Link wird in neuem Fenster geöffnet)
gateway.tsig.ssl.proxy.verify

Geben Sie an, ob Independent Gateway das von Tableau Server vorgelegte Zertifikat überprüfen soll.

Ist standardmäßig festgelegt auf require.

SSLProxyVerify(Link wird in neuem Fenster geöffnet)
gateway.tsig.ssl.proxy.checkpeername

Geben Sie an, ob Independent Gateway das Tableau Server-Zertifikat überprüft, um sicherzustellen, dass der Antragstellername mit dem Servernamen übereinstimmt.

Ist standardmäßig festgelegt auf off.

SSLProxyCheckPeerName(Link wird in neuem Fenster geöffnet)
gateway.tsig.ssl.proxy.checkpeerexpire

Geben Sie an, ob Independent Gateway das Tableau Server-Zertifikat überprüft, um das Ablaufdatum zu kontrollieren:

Ist standardmäßig festgelegt auf off.

SSLProxyCheckPeerExpire(Link wird in neuem Fenster geöffnet)

Schritt 4: Hochladen des Zertifikats der Stammzertifizierungsstelle auf Tableau Server

Wenn das TLS-Zertifikat, das Sie auf den Independent Gateway-Computern verwenden, ein selbstsigniertes oder PKI-generiertes Zertifikat ist, müssen Sie diesen zusätzlichen Schritt ausführen. Wenn das TLS-Zertifikat, das Sie auf dem Independent Gateway-Computer verwenden, ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters ist, können Sie diesen Schritt überspringen.

Kopieren Sie das für die Independent Gateway-Computer verwendete Zertifikat der Stammzertifizierungsstelle auf den Anfangsknoten von Tableau Sever und führen Sie dann die folgenden Befehle aus:

tsm security custom-cert add -c <root-certificate-file-name>.pem
tsm pending-changes apply

Housekeeping-Verbindung zwischen Tableau Server und Independent Gateway

Der Housekeeping (HK)-Prozess verwaltet den Konfigurationsstatus zwischen der Back-End-Tableau Server-Bereitstellung und dem Independent Gateway.

Wenn Independent Gateway installiert ist, bietet die Standardkonfiguration eine unverschlüsselte HTTP-Verbindung. Independent Gateway wartet auf Housekeeping-Anfragen, die vom Tableau Server-Cluster stammen (wie von Ihnen bei der Installation festgelegt).

Wenn Sie mehrere Instanzen von Independent Gateway betreiben, müssen alle Server Housekeeping-Anfragen mit TLS oder alle ohne TLS akzeptieren. In diesem Abschnitt wird beschrieben, wie Sie die HK-Verbindung für TLS konfigurieren. Dieser Vorgang erfordert einen Neustart von Tableau Server und führt zu einer Ausfallzeit.

Wie bei den oben beschriebenen TLS-Szenarien werden viele der Konfigurationsänderungen für die HK-Verbindung in den vom Tableau Server-Cluster verwalteten Konfigurationseigenschaften vorgenommen. Die HK TLS-Konfiguration erfordert jedoch zusätzliche Schritte auf dem Independent Gateway.

Schritt 1: Verteilen von Dateien an Independent Gateway-Computer

Wenn Sie TLS mit externem Netzwerk und Independent Gateway aktiviert haben, können Sie dieselben Zertifikat- und Schlüsseldateien für die HK-Verbindung verwenden.

Wenn Sie dieselben Assets verwenden, ist die einzige andere Zertifikatdatei, die Sie verteilen müssen, das Zertifikat der Stammzertifizierungsstelle für das von Tableau Server verwendete Zertifikat. Wenn das von Tableau Server vorgelegte TLS-Zertifikat von einer vertrauenswürdigen Drittanbieter-Zertifizierungsstelle generiert wurde, müssen Sie kein Zertifikat der Stammzertifizierungsstelle auf die Independent Gateway-Computer kopieren.

  1. Legen Sie die Zertifikate und zugehörigen Dateien an einem Ort und mit Berechtigungen ab, die es dem unabhängigen Gateway-Dienst (tsig-httpd) ermöglichen, sie zu lesen. Wir empfehlen, den Zugriff auf die Schlüsseldateien so einzuschränken, dass nur der Independent Gateway-Dienst sie lesen kann.
  2. Legen Sie alle Dateien, Zertifikate und Schlüssel auf allen Independent Gateway-Computern an exakt denselben Speicherorten ab.

Schritt 2: Importieren des Zertifikats der Stammzertifizierungsstelle des Independent Gateway in den Trust Store von Tableau Server

Wenn das TLS-Zertifikat, das Sie auf den Independent Gateway-Computern verwenden, ein selbstsigniertes oder PKI-generiertes Zertifikat ist, müssen Sie diesen zusätzlichen Schritt ausführen. Wenn das TLS-Zertifikat, das Sie auf dem Independent Gateway-Computer verwenden, ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters ist, können Sie diesen Schritt überspringen.

Sie dürfen nur ein Zertifikat der Stammzertifizierungsstelle auf Tableau Server hochladen. Wenn Sie also bereits ein Zertifikat der Stammzertifizierungsstelle hochgeladen haben, muss dasselbe Zertifikat der Stammzertifizierungsstelle das Zertifikat signieren, das Sie für die HK-Verbindung verwenden werden.

Kopieren Sie das für die Independent Gateway-Computer verwendete Zertifikat der Stammzertifizierungsstelle auf den Anfangsknoten von Tableau Sever und führen Sie dann die folgenden Befehle aus:

tsm security custom-cert add -c <root-certificate-file-name>.pem
tsm pending-changes apply

Schritt 3: Aktualisieren der Umgebungsvariablen auf Independent Gateway-Computern

Setzen Sie auf jedem Independent Gateway-Computer die Umgebungsvariable TSIG_HK_PROTOCOL auf https. Sie können auch einen anderen Port für HK angeben (Standard ist 21319), indem Sie die Umgebungsvariable TSIG_HK_PORT festlegen.

Ändern Sie diese Werte, indem Sie die Umgebungsvariablen TSIG_HK_PORT und TSIG_HK_PROTOCOL in environment.bash aktualisieren.

In der Standardeinstellung befindet sich environment.bash unter /etc/opt/tableau/tableau_tsig.

Nachdem Sie die Datei aktualisiert haben, müssen Sie tsig-httpd neu starten:

sudo su - tableau-tsig
systemctl --user restart tsig-httpd
exit

Schritt 4: Aktualisieren von httpd.conf.stub auf Independent Gateway

Sie müssen die Datei httpd.conf.stub auf jedem Independent Gateway-Server aktualisieren. Die Datei httpd.conf.stub wird für die globale httpd-Konfiguration verwendet.

Die Datei befindet sich unter TSIG_DATA/config/httpd.conf.stub.

In einer Standardinstallation: /var/opt/tableau/tableau_tsig/config/httpd.conf.stub

  1. Öffnen Sie die Datei httpd.conf.stub in einem Texteditor. Sie müssen den Block <VirtualHost *:${TSIG_HK_PORT}> mit den HK-Konfigurationsdetails aktualisieren. Das folgende Beispiel zeigt die erforderlichen Änderungen:

    <VirtualHost *:${TSIG_HK_PORT}>
     SSLEngine on
     #TLS# SSLHonorCipherOrder on
     #TLS# SSLCompression off
     SSLCertificateFile /etc/ssl/certs/tsig-ssl.crt
     SSLCertificateKeyFile /etc/ssl/private/tsig-ssl.key
     SSLCACertificateFile /etc/ssl/certs/rootTS-CACert.pem 
    #TLS# SSLCARevocationFile /path/to/file
    </VirtualHost>				

    Hinweise:

    • Standardmäßig wird jede Zeile im Block <VirtualHost *:${TSIG_HK_PORT}> durch die Zeichenfolge #TLS# auskommentiert. Um eine Zeile des Blocks zu "aktivieren", löschen Sie die Zeichenfolge #TLS# am Anfang der Zeile.
    • Wie bei allen httpd-Konfigurationen ist für jede referenzierte Datei ein absoluter Pfad zur Datei erforderlich.
    • SSLCACertificateFile gibt das Zertifikat der Stammzertifizierungsstelle für die Zertifizierungsstelle an, die das von Tableau Server vorgelegte Zertifikat generiert. Sie müssen diese Einstellung nur vornehmen, wenn das von Tableau Server verwendete TLS-Zertifikat selbstsigniert oder PKI-generiert ist.
  2. Stoppen Sie den tsig-httpd-Dienst.

    sudo su - tableau-tsig
    systemctl --user stop tsig-httpd
    exit

    Ab diesem Zeitpunkt erhalten Sie fehlgeschlagene Statusprüfungen, die in TSM anzeigen, dass Ihre Independent Gateway-Komponente beschädigt ist.

  3. Kopieren Sie httpd.conf.stub nach httpd.conf.

    Die Datei httpd.conf befindet sich in demselben Verzeichnis. Überschreiben Sie die Datei httpd.conf mit der Datei httpd.conf.stub.

    cp httpd.conf.stub httpd.conf
  4. Starten Sie den tsig-httpd-Dienst.

    sudo su - tableau-tsig
    systemctl --user start tsig-httpd
    exit

    An diesem Punkt erhalten Sie weiterhin fehlgeschlagene Statusprüfungen, die in TSM anzeigen, dass Ihre Independent Gateway-Komponente beschädigt ist. Diese Statusprüfungen schlagen fehl, bis Sie die Konfiguration wie in den folgenden Schritten beschrieben abgeschlossen haben.

Schritt 5: Festlegen der TLS-Konfigurationseigenschaften auf Tableau Server

Das Anwenden der Konfigurationsänderungen erfordert einen Neustart des Servers. Um lange Wartezeiten zu vermeiden, empfehlen wir, den Server anzuhalten, bevor Sie die hier vorgenommenen Änderungen übernehmen. In Schritt 6 wird ein Aktualisierungsbefehl ausgeführt und anschließend TSM neu gestartet. Das Anhalten von TSM in dieser Phase der Konfiguration führt zu einer kürzeren Ausfallzeit.

  1. Halten Sie TSM an. Führen Sie den folgenden Befehl aus:

    tsm stop
  2. Die meisten der TSM-Konfigurationsschlüssel in der folgenden Tabelle sind von Apache httpd-Direktiven abgeleitet. Die Konfigurationswerte für diese TSM-Konfigurationsschlüssel entsprechen daher direkt den gültigen Werten für die entsprechende Apache-Direktive. Links zu entsprechenden Direktiven sind in der folgenden Tabelle enthalten.

    Es gibt TSM-Konfigurationseigenschaftsnamen, die den hk-Knoten im Präfix enthalten: gateway.tsig.hk.xyz.abc. Falls festgelegt, werden diese Werte für die HK-TLS-Konfiguration verwendet. Wenn nicht festgelegt, verwenden viele Konfigurationseigenschaften den Fallback zu gateway.tsig.xyz.abc, der seinerseits auf gateway.xyz.abc zurückfallen kann oder nicht. Die Fallback-Konfigurationseigenschaft wird bei Relevanz aufgeführt.

    Die Konfigurationsoptionen in der folgenden Tabelle beziehen sich auf Konfigurationsschlüssel, die Sie mit dem Befehl tsm configuration set festlegen müssen. Alle Befehle müssen die Option --force-keys enthalten. Beispiel:

    tsm configuration set -k gateway.tsig.hk.ssl.enabled -v true --force-keys
    KonfigurationseigenschaftBeschreibungEntsprechende Apache-Direktive

    gateway.tsig.hk.ssl.enabled

    (Kein Fallback)

    Erforderlich.

    Aktiviert TLS. Muss auf true gesetzt werden.

    k. A.

    gateway.tsig.hk.ssl.cert.file_name

    Fallback:

    gateway.tsig.ssl.cert.file_name

    Pfad + Dateiname der Zertifikatsdatei für Independent Gateway. Zum Beispiel: /etc/ssl/certs/tsig-ssl.crt.

    SSLCertificateFile(Link wird in neuem Fenster geöffnet)

    gateway.tsig.hk.ssl.key.file_name

    Fallback:

    gateway.tsig.ssl.key.file_name

    Pfad + Dateiname der Zertifikatsschlüsseldatei für Independent Gateway. Zum Beispiel: /etc/ssl/keys/tsig-ssl.key.

    SSLCertificateKeyFile(Link wird in neuem Fenster geöffnet)

    gateway.tsig.ssl.key.passphrase.dialog

    (Globale Eigenschaft)

    Wenn Ihr Schlüssel eine Passphrase erfordert, müssen Sie diesen Schlüssel mit der korrekten Zeichenfolge konfigurieren, die von der Apache httpd-Direktive "SSLPassPhraseDialog" erwartet wird.
    Diese Konfiguration gilt global für Independent Gateway.
    SSLPassPhraseDialog(Link wird in neuem Fenster geöffnet)

    gateway.tsig.hk.ssl.protocols

    Fallbacks:

    gateway.tsig.ssl.protocols

    ssl.protocols

    Geben Sie die unterstützten Versionen von SSL/TLS an. Weitere Informationen zur Standardkonfiguration finden Sie unter Checkliste für die Absicherung.SSLProtocols(Link wird in neuem Fenster geöffnet)

    gateway.tsig.hk.ssl.ciphersuite

    Fallbacks:

    gateway.tsig.ssl.ciphersuite

    ssl.ciphersuite

    Gibt die Verschlüsselungen an, die der Client für die SSL-Verbindung aushandeln darf.SSLCipherSuite(Link wird in neuem Fenster geöffnet)

    gateway.tsig.hk.ssl.client_certificate_login.required

    (Kein Fallback)

    Setzen Sie diesen Wert auf true , um gegenseitiges TLS für diese Verbindung zu aktivieren.

    Sie müssen auch die Eigenschaft gateway.tsig.hk.ssl.cacert.file wie unten angegeben festlegen.

    k. A.

    gateway.tsig.hk.ssl.cacert.file

    Fallback:

    gateway.tsig.ssl.cacert.file

    Gibt die Datei an, die die verketteten CA-Zertifikate für den Clientauthentifizierungsprozess enthält.SSLCACertificateFile(Link wird in neuem Fenster geöffnet)

    gateway.tsig.hk.ssl.revocation.file

    Fallback:

    gateway.tsig.hk.ssl.revocation.file

    Gibt die Datei an, die die verketteten CA-Sperrlisten für Clients enthält, die eine Verbindung zu Independent Gateway herstellen.SSLCARevocationFile(Link wird in neuem Fenster geöffnet)
  3. Übernehmen Sie die Änderungen. Führen Sie den folgenden Befehl aus:

    tsm pending-changes apply.

Schritt 6: Aktualisieren der JSON-Konfigurationsdatei des Independent Gateway

Der letzte Schritt besteht darin, die Konfiguration des Independent Gateway mit einer JSON-Datei zu aktualisieren, die die Umstellung auf https und ggf. andere Portnummern widerspiegelt.

Weitere Informationen zum Bearbeiten dieser Datei finden Sie im Installationsthema. Siehe Schritt 3: Aktivieren von Independent Gateway in Tableau Server.

Führen Sie die folgenden Befehle aus, nachdem Sie die JSON-Datei aktualisiert haben:

tsm topology external-services gateway update -c tsig.json
tsm start

Problembehebung

Tipps zur Fehlerbehebung finden Sie unter Fehlerbehebung bei Tableau Server Independent Gateway(Link wird in neuem Fenster geöffnet) im Handbuch zu Tableau Server Enterprise-Bereitstellung (Enterprise Deployment Guide, EDG). Das EDG bietet eine beispielhafte Bereitstellung von Tableau Server unter Linux. Die Schritte zur Fehlerbehebung sind für Windows- oder Linux-Versionen von Tableau Server hilfreich.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.