Ejemplo: certificado SSL: generar una clave y una CSR
Importante: El objetivo de este ejemplo es proporcionar información general a los profesionales de TI que cuentan con experiencia en los requisitos y la configuración de SSL. El procedimiento descrito en este artículo es tan solo uno de los muchos métodos disponibles que se pueden utilizar para generar los archivos necesarios. El proceso que se describe aquí debe tratarse como un ejemplo, no como una recomendación.
Al configurar Tableau Server para utilizar el cifrado SSL (Capa de sockets seguros), se garantiza que el acceso al servidor sea seguro y que los datos enviados entre Tableau Server y Tableau Desktop estén protegidos.
¿Busca Tableau Server en Windows? Consulte Ejemplo: certificado SSL: generar una clave y una CSR(El enlace se abre en una ventana nueva).
Tableau Server utiliza Apache, que incluye OpenSSL(El enlace se abre en una ventana nueva). Puede utilizar el kit de herramientas de OpenSSL para generar un archivo de claves y una solicitud de firma de certificado (CSR), que se pueden utilizar para obtener un certificado SSL firmado.
Nota: A partir de las versiones 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 y posteriores, Tableau Server ejecuta OpenSSL 3.1.
Pasos para generar una clave y una CSR
Para configurar Tableau Server para poder utilizar SSL, debe disponer de un certificado SSL. Para obtener uno, siga estos pasos:
- Generar un archivo de claves.
- Crear una solicitud de firma de certificado (CSR).
- Enviar la CSR a una autoridad emisora de certificados (CA) para obtener un certificado SSL.
- Utilizar la clave y el certificado para configurar Tableau Server para poder utilizar SSL.
Encontrará más información en la página de preguntas frecuentes de SSL(El enlace se abre en una ventana nueva) del sitio web de Apache Software Foundation.
Configurar un certificado para varios nombres de dominio
Tableau Server admite el uso de SSL para varios dominios. Para configurar este entorno, debe modificar el archivo de configuración de OpenSSL, openssl.conf, y configurar un certificado SAN (nombre alternativo del firmante) en Tableau Server. Consulte la sección Para certificados SAN: modificar el archivo de configuración de OpenSSL, que aparece a continuación.
Generar una clave
Genere un archivo de claves que utilizará para generar una solicitud de firma de certificado.
Ejecute el siguiente comando para crear el archivo de claves:
openssl genrsa -out <yourcertname>.key 4096
Notas:- Este comando utiliza una longitud de 4096 bits para la clave. Debe seleccionar una longitud que sea como mínimo de 2048 bits, puesto que la comunicación cifrada con una longitud de bits inferior es menos segura. Si no se proporciona ningún valor, se utilizará el valor de 512 bits.
- Para crear claves RSA PKCS#1 con las versiones de Tableau Server 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 y posteriores, debe usar la opción adicional
-traditional
al ejecutar el comandoopenssl genrsa
” basado en OpenSSL 3.1. Para obtener más información sobre esta opción, consulte https://www.openssl.org/docs/man3.1/man1/openssl-rsa.html (en inglés)(El enlace se abre en una ventana nueva).
Crear una solicitud de firma de certificado para enviarla a una autoridad emisora de certificados
Utilice el archivo de claves que ha creado en el procedimiento anterior para generar la solicitud de firma de certificado (CSR). Debe enviar la CSR a una autoridad emisora de certificados (CA) para obtener un certificado firmado.
Importante: Si desea configurar un certificado SAN para utilizar SSL para varios dominios, primero debe seguir los pasos descritos en la sección Para certificados SAN: modificar el archivo de configuración de OpenSSL, que aparece a continuación, y volver aquí para generar una CSR.
Ejecute el siguiente comando para crear un archivo de solicitud de firma de certificado (CSR):
openssl req -new -key yourcertname.key -out yourcertname.csr -config /opt/tableau/tableau_server/packages/apache.<version>/conf/openssl.cnf
Cuando se le solicite, indique la información necesaria.
Nota: En Nombre común, escriba el nombre de Tableau Server. El nombre de Tableau Server es la dirección URL que se utilizará para acceder a Tableau Server. Por ejemplo, si accede a Tableau Server escribiendo
tableau.example.com
en la barra de direcciones del navegador,tableau.example.com
será el nombre común. Si el nombre común no se resuelve en el nombre de servidor, se producirán errores cuando un navegador o Tableau Desktop intente conectarse a Tableau Server.
Enviar la CSR a una autoridad emisora de certificados para obtener un certificado SSL
Envíe la CSR a una autoridad emisora de certificados (CA) comercial para solicitar el certificado digital. Para obtener información, consulte el artículo de la Wikipedia Autoridad de certificación(El enlace se abre en una ventana nueva), así como cualquier otro artículo relacionado que le sirva para decidir la CA que va a utilizar.
Utilizar la clave y el certificado para configurar Tableau Server
Si tiene la clave y el certificado de la CA, puede configurar Tableau Server para utilizar SSL. Siguiendo los pasos descritos en Configurar SSL externa.
Para certificados SAN: modificar el archivo de configuración de OpenSSL
En una instalación estándar de OpenSSL, algunas funciones no están habilitadas de forma predeterminada. Para utilizar SSL con varios nombres de dominio, antes de generar la CSR, debe seguir estos pasos para modificar el archivo openssl.cnf.
Diríjase a la carpeta de Apache conf para Tableau Server.
Por ejemplo:
/opt/tableau/tableau_server/packages/apache.<version_code>/conf
Abra openssl.cnf en un editor de texto y busque la siguiente línea:
req_extensions = v3_req
Es posible que esta línea incluya al inicio una almohadilla (#).
Si la línea incluye al inicio el carácter # y caracteres de espacio, elimínelos.
Vaya a la sección [ v3_req ] del archivo. Las primeras líneas contienen el siguiente texto:
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEnciphermentDespués de la línea keyUsage, inserte la siguiente línea:
subjectAltName = @alt_names
Si va a crear un certificado SAN autofirmado, lleve a cabo estos pasos para dar permiso al certificado para firmar el certificado:
Añada
cRLSign
ykeyCertSign
a la línea keyUsage del siguiente modo:keyUsage = nonRepudiation, digitalSignature, keyEncipherment, cRLSign, keyCertSign
Después de la línea keyUsage, inserte la siguiente línea:
subjectAltName = @alt_names
En la sección [alt_names], indique los nombres de dominio que desea utilizar con SSL.
DNS.1 = [domain1]
DNS.2 = [domain2]
DNS.3 = [etc]En la siguiente imagen se muestran los resultados resaltados, con el texto de marcador de posición que reemplazaría por los nombres de dominio.
Guarde los cambios y cierre el archivo.
Siga los pasos descritos en la sección Crear una solicitud de firma de certificado para enviarla a una autoridad emisora de certificados, que aparece más arriba.