Konfigurieren von SSL für den externen HTTP-Verkehr von und an Tableau Server
Sie können Tableau Server so konfigurieren, dass der gesamte externe HTTP-Datenverkehr mit SSL (Secure Socket Layer) verschlüsselt wird. Durch das Einrichten von SSL wird gewährleistet, dass der Zugriff auf Tableau Server sicher ist und dass die zwischen dem Server und den Tableau-Clients (beispielsweise Tableau Desktop, REST API, Analytics-Erweiterungen usw.) weitergegebenen vertraulichen Informationen geschützt sind. Die Vorgehensweisen zur Konfiguration des Servers für SSL werden in diesem Thema beschrieben. Zuvor müssen Sie jedoch ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle erwerben und die Zertifikatdateien in Tableau Server importieren.
Die gegenseitige SSL-Authentifizierung wird in Tableau Mobile nicht unterstützt.
SSL-Zertifikatsanforderungen
Erwerben Sie von einer vertrauenswürdigen Zertifizierungsstelle (z. B. Verisign, Thawte, Comodo, GoDaddy usw.) ein Apache SSL-Zertifikat. Sie können auch ein von Ihrem Unternehmen ausgestelltes internes Zertifikat verwenden. Platzhalterzertifikate, die es Ihnen ermöglichen, SSL mit vielen Hostnamen innerhalb der gleichen Domäne zu verwenden, werden ebenfalls unterstützt.
Wenn Sie ein SSL-Zertifikat für eine externe Kommunikation mit und von Tableau Server erwerben, halten Sie diese Richtlinien und Anforderungen ein:
Bei allen Zertifikatsdateien muss es sich um gültige PEM-codierte X509-Zertifikate mit der Erweiterung
.crt
handeln.Verwenden Sie ein SHA-2-SSL-Zertifikat (256 oder 512 Bit). Die meisten Browser erlauben keine Verbindungen mehr zu Servern mit einem SHA-1-Zertifikat.
Zusätzlich zur Zertifikatsdatei müssen Sie zudem eine entsprechende SSL-Zertifikatsschlüsseldatei erwerben. Bei der Schlüsseldatei muss es sich um eine gültige private RSA- oder DSA-Schlüsseldatei handeln (entsprechend der Konvention mit der Erweiterung
.key
).Sie können die Schlüsseldatei mittels Passphrase schützen. Die während der Konfiguration von Ihnen eingegebene Passphrase wird im Leerlauf verschlüsselt. Wenn Sie jedoch dasselbe Zertifikat für SSL und SAML verwenden möchten, müssen Sie eine Schlüsseldatei verenden, die nicht mittels Passphrase geschützt ist.
Wichtig: Wenn Ihre Schlüsseldatei passwortgeschützt ist, müssen Sie überprüfen, ob der zugehörige kryptografische Algorithmus von der von Ihnen ausgeführten Version von Tableau Server unterstützt wird. Tableau Server verwendet OpenSSL, um kennwortgeschützte Schlüsseldateien zu öffnen. Ab August 2023 wird in den neuesten Versionen von Tableau Server (2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 und neuer) OpenSSL 3.1 ausgeführt. In früheren Versionen von Tableau Server wurde OpenSSL 1.1 ausgeführt. Eine Reihe kryptografischer Algorithmen wurden eingestellt und werden in OpenSSL 3.1 nicht mehr unterstützt. Wenn Sie eine passwortgeschützte Schlüsseldatei auf einer älteren Version von Tableau Server verwenden, auf der noch OpenSSL 1.1 ausgeführt wird, lesen Sie den folgenden Knowledge Base-Artikel, bevor Sie ein Upgrade auf die neueste Version von Tableau Server durchführen: Gateway und Prep Conductor konnten nicht gestartet werden, wenn externes SSL mit Passphrase zum Schutz der Schlüsseldatei nach dem Upgrade auf Tableau Server 2022.1.17 verwendet wurde(Link wird in neuem Fenster geöffnet).
SSL-Zertifikatkettendatei: Für Tableau Desktop auf dem Mac, Tableau Prep Builder auf dem Mac und Tableau Prep Builder unter Windows ist eine Zertifikatskettendatei erforderlich. Die Kettendatei wird auch für die Tableau Mobile App benötigt, wenn die Zertifikatskette für Tableau Server vom Betriebssystem iOS oder Android auf dem mobilen Gerät nicht als vertrauenswürdig erkannt wird.
Bei der Kettendatei handelt es sich um eine Verkettung sämtlicher Zertifikate, die die Zertifikatskette für das Serverzertifikat bilden. Alle Zertifikate in der Datei müssen x509 PEM-codiert sein, und die Datei muss die Erweiterung
.crt
(nicht.pem
) haben.Für mehrere Unterdomänen werden von Tableau Server Platzhalterzertifikate unterstützt.
Stellen Sie sicher, dass die Domäne, der Hostname oder die IP-Adresse, mit der bzw. dem Clients eine Verbindung zu Tableau Server herstellen, im Feld "Subject Alternative Names" (SAN) enthalten ist. Viele Clients (Tableau Prep, Chrome- und Firefox-Browser usw.) setzen einen gültigen Eintrag im SAN-Feld voraus, um eine sichere Verbindung herzustellen.
Hinweis: Wenn Tableau Server für die einmalige Anmeldung (Single Sing-On) mittels SAML konfiguriert werden soll, lesen Sie den Abschnitt Verwendung von SSL-Zertifikat und Schlüsseldateien für SAML in den SAML-Anforderungen, um zu bestimmen, ob Sie dieselben Zertifikatdateien für SSL und SAML verwenden sollten.
Konfigurieren von SSL für einen Cluster
Sie können einen Tableau Server-Cluster so konfigurieren, dass SSL verwendet wird. Wenn der Gateway-Prozess nur auf dem Ausgangsknoten ausgeführt wird (Standardeinstellung), muss SSL nur dort konfiguriert werden. Die dazu erforderlichen Schritte werden in diesem Thema beschrieben.
SSL mit mehreren Gateways
Ein Tableau Server-Cluster mit hoher Verfügbarkeit kann mehrere Gateways einschließen, vor die ein Lastenausgleichsmodul geschaltet ist. Beim Konfigurieren dieses Clustertyps für SSL haben Sie die folgenden Wahlmöglichkeiten:
Konfigurieren Sie das Lastenausgleichsmodul für SSL: Der Datenverkehr zwischen den Client-Webbrowsern und dem Lastenausgleichsmodul ist verschlüsselt. Der Datenverkehr vom Lastenausgleichsmodul zu den Tableau Server-Gateway-Prozessen ist nicht verschlüsselt. Sie müssen keine SSL-Konfiguration in Tableau Server durchführen. Sie wird vom Lastenausgleichsmodul übernommen.
Konfigurieren von Tableau Server für SSL: Der Datenverkehr von den Client-Webbrowsern zum Lastenausgleichsmodul und vom Lastenausgleichsmodul zu den Tableau Server-Gateway-Prozessen ist verschlüsselt. Weitere Informationen finden Sie im folgenden Abschnitt.
Zusätzliche Konfigurationsinformationen für Tableau Server Cluster-Umgebungen
Führen Sie die folgenden Schritte aus, wenn Sie SSL auf allen Tableau Server-Knoten nutzen möchten, die einen Gateway-Prozess ausführen.
Konfigurieren Sie den externen Lastenausgleich für SSL-Passthrough.
Wenn Sie alternativ einen anderen Port als Port 443 verwenden möchten, können Sie den externen Lastenausgleich konfigurieren, um den vom Standard abweichenden Port vom Client zu beenden. In diesem Fall würden Sie das Lastenausgleichsmodul so konfigurieren, dass eine Verbindung mit Tableau Server über Port 443 hergestellt wird. Informationen dazu können Sie der für das Lastenausgleichsmodul bereitgestellten Dokumentation entnehmen.
Vergewissern Sie sich, dass das SSL-Zertifikat auf den Hostnamen des Lastenausgleichsmoduls ausgestellt wurde.
Konfigurieren Sie den anfänglichen Tableau Server-Knoten für SSL.
Wenn Sie gegenseitiges SSL verwenden, laden Sie die SSL-Zertifikatsdatei hoch. Siehe
tsm authentication mutual-ssl <commands>
.
SSL-Zertifikat und Schlüsseldateien werden im Rahmen des Konfigurationsprozesses an jeden Knoten verteilt.
Vorbereiten der Umgebung
Wenn Sie die Zertifikatsdateien von der CA erhalten, speichern Sie sie an einem Ort, auf den Tableau Server zugreifen kann, und notieren Sie sich die Namen der .crt-Zertifikats- und .key-Dateien und den Ort, an dem Sie sie gespeichert haben. Sie müssen diese Informationen Tableau Server bereitstellen, wenn Sie SSL aktivieren.
Konfigurieren von SSL auf Tableau Server
Gehen Sie nach dem Verfahren vor, mit dem Sie vertraut sind.
Öffnen Sie TSM in einem Browser:
https://<tsm-computer-name>:8850. Weitere Informationen finden Sie unter Anmelden bei der Webschnittstelle von Tableau Services Manager.
Wählen Sie auf der Registerkarte Konfiguration die Option Sicherheit > Externes SSL aus.
Hinweis:Wenn Sie eine vorhandene Konfiguration aktualisieren oder ändern, klicken Sie auf Zurücksetzen, um die vorhandenen Einstellungen zu löschen, bevor Sie fortfahren.
Wählen Sie unter Externes Webserver-SSL die Option SSL für die Serverkommunikation aktivieren aus.
Laden Sie die Zertifikat- und Schlüsseldateien und, sofern in Ihrer Umgebung erforderlich, auch die Zertifikatkettendatei hoch und geben Sie den Passphrase-Schlüssel ein:
Wenn Sie Tableau Server in einer verteilten Bereitstellung ausführen, werden diese Dateien automatisch an jeden entsprechenden Knoten im Cluster verteilt.
Klicken Sie auf Ausstehende Änderungen speichern.
Klicken Sie oben auf der Seite auf Ausstehende Änderungen:
Klicken Sie auf Änderungen anwenden und neu starten.
Nachdem Sie die Zertifikatdateien auf Ihren lokalen Computer geladen haben, führen Sie die folgenden Befehle aus:
tsm security external-ssl enable --cert-file <path-to-file.crt> --key-file <path-to-file.key>
tsm pending-changes apply
Sehen Sie sich die Befehlsreferenz in tsm security external-ssl enable an, um zu bestimmen, ob Sie weitere Optionen für external-ssl enable
einfügen wollen. Tableau hat bestimmte Empfehlungen für die Option --protocols
.
Der Befehl external-ssl enable command
importiert die Informationen von den .crt- und .key-Dateien. Wenn Sie diesen Befehl auf einem Knoten in einem Tableau Server-Cluster ausführen, werden auch die Informationen auf jeden anderen Gateway-Knoten verteilt.
Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl pending-changes apply
eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt
unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.
Port-Umleitung und Protokollierung
Nachdem der Server für SSL konfiguriert wurde, akzeptiert er Anforderungen am Nicht-SSL-Port (standardmäßig Port 80) und leitet diese automatisch zum SSL-Port 443 um.
Hinweis: Tableau Server unterstützt nur Port 443 als sicheren Port. Das Programm kann nicht auf Computern ausgeführt werden, auf denen eine andere Anwendung Port 443 verwendet.
SSL-Fehler werden in der folgenden Protokolldatei aufgezeichnet. Mit diesem Protokoll beheben Sie Validierungs- und Verschlüsselungsprobleme.
/var/opt/tableau/tableau_server/data/tabsvc/logs/httpd/error.log
Hinzufügen des SSL-Ports zur lokalen Firewall
Wenn Sie eine lokale Firewall betreiben, müssen Sie den SSL-Port auf Tableau Server zur Firewall hinzufügen. Das unten stehende Beispiel beschreibt die Konfiguration der Firewall auf RHEL/CentOS-Distributionen. In diesem Beispiel wird Firewalld verwendet. Dies ist die Standard-Firewall für CentOS.
Starten Sie "firewalld":
sudo systemctl start firewalld
Fügen Sie Port 443 für SSL hinzu:
sudo firewall-cmd --permanent --add-port=443/tcp
Laden Sie die Firewall neu und überprüfen Sie die Einstellungen:
sudo firewall-cmd --reload
sudo firewall-cmd --list-all
Ändern oder Aktualisieren des SSL-Zertifikats
Nachdem Sie SSL konfiguriert haben, müssen Sie das Zertifikat möglicherweise regelmäßig aktualisieren. In einigen Fällen müssen Sie möglicherweise das Zertifikat für betriebliche Änderungen in Ihrer IT-Umgebung ändern. In beiden Fällen müssen Sie TSM verwenden, um das SSL-Zertifikat zu ersetzen, das bereits für externes SSL konfiguriert wurde.
Kopieren Sie kein neues Zertifikat in das Dateiverzeichnis auf dem Betriebssystem. Wenn Sie das Zertifikat entweder mit der TSM-Webbenutzeroberfläche oder dem Befehl tsm security external-ssl enable
hinzufügen, wird die Zertifikatsdatei stattdessen in den entsprechenden Zertifikatsspeicher kopiert. In einer verteilten Bereitstellung wird das Zertifikat auch über die Knoten im Cluster kopiert.
Um das SSL-Zertifikat (und ggf. die entsprechende Schlüsseldatei) zu ändern oder zu aktualisieren, führen Sie die Schritte im vorherigen Abschnitt dieses Themas aus (Konfigurieren von SSL auf Tableau Server.
Nachdem Sie das Zertifikat geändert haben, müssen Sie tsm pending-changes apply
ausführen, um die Tableau Server-Dienste neu zu starten. Außerdem wird empfohlen, alle anderen Dienste auf dem Computer neu zu starten, die das SSL-Zertifikat verwenden. Wenn Sie ein Stammzertifikat auf dem Betriebssystem ändern, müssen Sie den Computer neu starten.