Beispiel: SSL-Zertifikat – Generieren eines Schlüssels und einer CSR


Wichtig: An diesem Beispiel können sich IT-Fachleute orientieren, die Erfahrung mit SSL-Anforderungen und der Konfiguration besitzen. Die in diesem Artikel beschriebene Vorgehensweise ist nur eine von zahlreichen verfügbaren Methoden, die zum Generieren der erforderlichen Dateien verwendet werden können. Die hier beschriebene Vorgehensweise ist als Beispiel und nicht als Empfehlung zu verstehen.

Die Konfiguration von Tableau Server zur Verwendung von Secure Sockets Layer (SSL)-Verschlüsselung ermöglicht einen sicheren Zugriff auf den Server und schützt die zwischen Tableau Server und Tableau Desktop versendeten Daten.

Suchen Sie nach Tableau Server für Windows? Informationen finden Sie unter Beispiel: SSL-Zertifikat – Generieren eines Schlüssels und einer CSR(Link wird in neuem Fenster geöffnet).

Tableau Server verwendet die Technologie der Apache Software Foundation, die OpenSSL(Link wird in neuem Fenster geöffnet) beinhaltet. Sie können das OpenSSL-Toolkit zum Generieren einer Schlüsseldatei und einer Zertifikatsignieranforderung (Certificate Signing Request, CSR) verwenden, mit denen Sie dann ein signiertes SSL-Zertifikat erhalten.

Hinweis: Ab den Tableau Server-Versionen 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 und höher führt Tableau Server OpenSSL 3.1 aus.

Schritte zum Generieren eines Schlüssels und einer CSR

Um Tableau Server zur Verwendung von SSL zu konfigurieren, benötigen Sie ein SSL-Zertifikat. Um das SSL-Zertifikat zu erhalten, führen Sie folgende Schritte aus:

  1. Generieren einer Schlüsseldatei.
  2. Erstellen einer Zertifikatsignieranforderung.
  3. Senden der Zertifikatsignieranforderung an eine Zertifizierungsstelle zum Erhalt eines SSL-Zertifikats.
  4. Konfigurieren von Tableau Server zur Verwendung von SSL mithilfe des Schlüssels und des Zertifikats.

Zusätzliche Informationen finden Sie auf der Seite SSL FAQ(Link wird in neuem Fenster geöffnet) der Apache Software Foundation-Website.

Konfigurieren eines Zertifikats für mehrere Domänennamen

Tableau Server unterstützt SSL für mehrere Domänen. Um diese Umgebung einzurichten, müssen Sie die OpenSSL-Konfigurationsdatei openssl.conf ändern und ein Zertifikat für einen alternativen Antragstellernamen (Subject Alternative Name, SAN) auf Tableau Server konfigurieren. Siehe Für SAN-Zertifikate: Ändern der OpenSSL-Konfigurationsdatei unten.

Generieren eines Schlüssels

Generieren Sie eine Schlüsseldatei, mit der Sie eine Zertifikatsignieranforderung erzeugen.

  1. Führen Sie den folgenden Befehl zum Erstellen der Schlüsseldatei aus:

    openssl genrsa -out <yourcertname>.key 4096

    Hinweise:
    • Dieser Befehl verwendet eine Länge von 4.096 Bit für den Schlüssel. Wählen Sie eine Bit-Länge von mindestens 2.048 Bit, da die mit einer kürzeren Bit-Länge verschlüsselte Kommunikation weniger sicher ist. Wenn kein Wert angegeben wird, werden 512 Bit verwendet.
    • Um PKCS#1-RSA-Schlüssel mit den Tableau Server-Versionen 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 und höher zu erstellen, müssen Sie die zusätzliche Option -traditional beim Ausführen des Befehls openssl genrsa" basierend auf OpenSSL 3.1 verwenden. Weitere Informationen zu der Option finden Sie unter https://www.openssl.org/docs/man3.1/man1/openssl-rsa.html(Link wird in neuem Fenster geöffnet).

Erstellen einer Zertifikatsignieranforderung zum Senden an eine Zertifizierungsstelle

Verwenden Sie die Schlüsseldatei, die Sie mit der oben stehenden Vorgehensweise erstellt haben, um die Zertifikatsignieranforderung (Certificate Signing Request, CSR) zu generieren. Senden Sie die Zertifikatsignieranforderung an eine Zertifizierungsstelle, um ein signiertes Zertifikat zu erhalten.

Wichtig: Wenn Sie ein SAN-Zertifikat konfigurieren möchten, um SSL für mehrere Domänen zu verwenden, führen Sie zunächst die Schritte unter Für SAN-Zertifikate: Ändern der OpenSSL-Konfigurationsdatei weiter unten aus, und kehren Sie dann zum vorliegenden Abschnitt zurück, um eine Zertifikatsignieranforderung zu generieren.

  1. Führen Sie den folgenden Befehl aus, um eine CSR-Datei zu erstellen:

    openssl req -new -key yourcertname.key -out yourcertname.csr  -config /opt/tableau/tableau_server/packages/apache.<version>/conf/openssl.cnf

  2. Geben Sie die erforderlichen Informationen ein, sobald Sie dazu aufgefordert werden.

    Hinweis: Geben Sie für Common Name (Allgemeiner Name) den Tableau Server-Namen ein. Der Tableau Server-Name ist die URL, die zur Verbindung mit Tableau Server verwendet wird. Wenn Sie Tableau Server beispielsweise erreichen, indem Sie tableau.example.com in die Adressleiste Ihres Browsers eingeben, ist tableau.example.com der allgemeine Name. Wenn der allgemeine Name nicht in den Servernamen aufgelöst wird, treten Fehler auf, sobald ein Browser oder Tableau Desktop versucht, eine Verbindung zu Tableau Server herzustellen.

Senden der Zertifikatsignieranforderung an eine Zertifizierungsstelle zum Erhalt eines SSL-Zertifikats

Senden Sie die Zertifikatsignieranforderung an eine kommerzielle Zertifizierungsstelle, um das digitale Zertifikat anzufordern. Weitere Informationen finden Sie im Wikipedia-Artikel Zertifizierungsstelle(Link wird in neuem Fenster geöffnet) und verwandten Artikeln, die Ihnen bei der Auswahl Ihrer ZS helfen.

Konfigurieren von Tableau Server mithilfe des Schlüssels und des Zertifikats

Wenn Sie sowohl den Schlüssel als auch das Zertifikat von der Zertifizierungsstelle besitzen, können Sie Tableau Server für die Verwendung von SSL konfigurieren. Entsprechende Schritte finden Sie unter Externe SSL-Konfiguration.

Für SAN-Zertifikate: Ändern der OpenSSL-Konfigurationsdatei

In einer Standardinstallation von OpenSSL sind einige Funktionen standardmäßig deaktiviert. Um SSL mit mehreren Domänennamen zu verwenden, führen Sie vor dem Generieren der Zertifikatsignieranforderung die folgenden Schritte zum Bearbeiten der Datei openssl.cnf aus.

  1. Navigieren Sie zum Apache-Ordner conf für Tableau Server.

    Beispiel: /opt/tableau/tableau_server/packages/apache.<version_code>/conf

  2. Öffnen Sie openssl.cnf in einem Texteditor, und suchen Sie die folgende Zeile: req_extensions = v3_req

    Dieser Eintrag kann durch ein Rautenzeichen (#) am Anfang der Zeile auskommentiert sein.

    In diesem Fall heben Sie die Auskommentierung auf, indem Sie das Zeichen # und das Leerzeichen am Anfang der Zeile entfernen.

  3. Wechseln Sie in den Abschnitt [ v3_req ] der Datei. Die ersten Zeilen enthalten den folgenden Text:

    # Extensions to add to a certificate request
    basicConstraints = CA:FALSE
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment

    Fügen Sie im Anschluss an die Zeile keyUsage folgende Zeile ein:

    subjectAltName = @alt_names

    Wenn Sie ein selbstsigniertes SAN-Zertifikat erstellen, gehen Sie wie folgt vor, um dem Zertifikat die Berechtigung zum Signieren zu erteilen:

    1. Fügen Sie der Zeile keyUsage cRLSign und keyCertSign hinzu, sodass sie folgendermaßen aussieht: keyUsage = nonRepudiation, digitalSignature, keyEncipherment, cRLSign, keyCertSign

    2. Fügen Sie im Anschluss an die Zeile keyUsage folgende Zeile ein: subjectAltName = @alt_names.

  4. Geben Sie im Abschnitt [alt_names] die Domänennamen an, die Sie mit SSL verwenden möchten.

    DNS.1 = [domain1]
    DNS.2 = [domain2]
    DNS.3 = [etc]

    In der folgenden Abbildung sind die Ergebnisse hervorgehoben. Ersetzen Sie den Platzhaltertext mit Ihren Domänennamen.

  5. Speichern und schließen Sie die Datei.

  6. Führen Sie die Schritte im Abschnitt Erstellen einer Zertifikatsignieranforderung zum Senden an eine Zertifizierungsstelle oben aus.

Zurück zum Anfang
Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.