Configurar SSL para tráfico HTTP externo a y desde Tableau Server

Puede configurar Tableau Server para que use comunicaciones cifradas por capa de conexión segura (SSL) en todo el tráfico externo HTTP. Configurar la SSL garantiza que el acceso a Tableau Server es seguro y que la información confidencial que se transmite entre el servidor y los clientes de Tableau (por ejemplo, Tableau Desktop, la API de REST, extensiones de análisis, etc.) se encuentra protegida. En este tema se describen los pasos necesarios para configurar el servidor para SSL. Sin embargo, primero debe adquirir un certificado de una autoridad de confianza e importar los archivos de certificado a Tableau Server.

La autenticación SSL mutua no se admite en Tableau Mobile.

Requisitos de los certificados SSL

Adquiera un certificado Apache SSL de una autoridad de confianza (por ejemplo, Verisign, Thawte, Comodo, GoDaddy). También puede usar un certificado interno emitido por su empresa. También se admiten certificados de comodín, los cuales le permiten utilizar SSL con muchos nombres de host dentro del mismo dominio.

Cuando adquiera un certificado SSL para la comunicación externa de y a Tableau Server, siga estas directrices y requisitos:

  • Todos los archivos de certificado deben ser certificados x509 válidos codificados con PEM con la extensión .crt.

  • Utilice un certificado SSL SHA-2 (de 256 o 512 bits). La mayoría de los navegadores ya no se conectan a un servidor que presenta un certificado SHA-1.

  • Además del archivo de certificado, también debe conseguir un archivo de claves de certificado SSL. El archivo de clave debe ser un archivo de clave privado RSA o DSA válido (con la extensión .key por convención).

    Puede optar por proteger el archivo de claves con frase de contraseña. La frase de contraseña que especifique en la configuración se cifrará mientras esté en reposo. No obstante, si desea utilizar el mismo certificado tanto para SSL como para SAML, deberá utilizar un archivo de claves que no esté protegido con frase de contraseña.

    Importante: Si su archivo de clave está protegido con una frase de contraseña, debe verificar que el algoritmo criptográfico relacionado sea compatible con la versión de Tableau Server que está ejecutando. Tableau Server utiliza OpenSSL para abrir archivos de clave protegidos con contraseña. A partir de agosto de 2023, las últimas versiones de Tableau Server (2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 y posteriores) ejecutan OpenSSL 3.1. Las versiones anteriores de Tableau Server ejecutaban OpenSSL 1.1. Se han retirado varios algoritmos criptográficos y ya no son compatibles con OpenSSL 3.1. Si usa un archivo de clave protegido con una frase de contraseña en una versión anterior de Tableau Server que todavía ejecuta OpenSSL 1.1, revise el siguiente artículo de la base de conocimientos antes de actualizar a la última versión de Tableau Server: Gateway and Prep Conductor failed to start when using External SSL with passphrase to protect the key file after upgrade to Tableau Server 2022.1.17(El enlace se abre en una ventana nueva).

  • Archivo de cadena de certificados SSL: Se requiere un archivo de cadena de certificados para Tableau Desktop en el Mac y para Tableau Prep Builder en el Mac y Tableau Prep Builder en Windows. El archivo de cadena también es necesario para la aplicación Tableau Mobile si el sistema operativo iOS o Android del dispositivo móvil no confía en la cadena de certificados para Tableau Server.

    El archivo de cadena es una concatenación de todos los certificados que conforman la cadena de certificados del certificado del servidor. Todos los certificados en el archivo deben estar codificados por x509 PEM y el archivo debe tener una extensión .crt (no .pem).

  • En el caso de usar varios subdominios, Tableau Server admite los certificados de comodín.

  • Verifique que el dominio, el nombre de host o la dirección IP que los clientes usan para conectarse a Tableau Server estén incluidos en el campo Nombres alternativos del sujeto (SAN). Muchos clientes (Tableau Prep, navegadores Chrome y Firefox, etc.) requieren una entrada válida en el campo SAN para establecer una conexión segura.

Nota: Si pretende configurar Tableau Server para el inicio de sesión único mediante SAML, consulte Utilizar archivos de certificado y clave SSL para SAML en los requisitos de SAML a fin de ayudarle a determinar si utilizar los mismos archivos de certificado para SSL y SAML.

Configurar SSL para un clúster

Puede configurar un clúster de Tableau Server para que use SSL. Si el nodo inicial es el único que ejecuta el proceso de puerta de enlace (cosa que hace de forma predeterminada), el único lugar en el que deberá configurar SSL será en ese nodo siguiendo los pasos descritos en este tema.

SSL con varias puertas de enlace

Un clúster de Tableau Server de alta disponibilidad puede incluir varias puertas de enlace detrás de un equilibrador de carga. Si está configurando este tipo de clúster para SSL, tiene las siguientes opciones:

  • Configurar el equilibrador de carga para SSL: el tráfico se cifra desde el navegador web del cliente al equilibrador de carga. El tráfico del equilibrador de carga a los procesos de la puerta de enlace de Tableau Server no se cifran. No es necesario que defina ninguna configuración de SSL en Tableau Server. El equilibrador de carga se encarga de todo.

  • Configurar Tableau Server para usar SSL: el tráfico se cifra desde los navegadores web del cliente hacia el equilibrador de carga, y desde el equilibrador de carga hacia los procesos de puerta de enlace de Tableau Server. Para obtener más información, consulte la siguiente sección.

Información adicional sobre configuración para entornos de clúster de Tableau Server

Cuando desee utilizar SSL en todos los nodos de Tableau Server que ejecutan un proceso de puerta de enlace, debe completar los siguientes pasos.

  1. Configure el equilibrador de carga externo para la transferencia SSL.

    O si quiere usar un puerto que no sea el 443, puede configurar el equilibrador de carga externo para que finalice el puerto no estándar desde el cliente. En este escenario, luego configuraría el equilibrador de carga para conectarse con Tableau Server a través del puerto 443. Consulte la documentación proporcionada para el equilibrador de carga para obtener ayuda.

  2. Asegúrese de que el certificado SSL se haya emitido para el nombre de host del equilibrador de carga.

  3. Configure el nodo de Tableau Server inicial para SSL.

  4. Si utiliza SSL mutuo, cargue el archivo de certificado SSL CA. Consulte tsm authentication mutual-ssl <comandos>.

El certificado SSL y los archivos de clave se distribuirán a cada nodo como parte del proceso de configuración.

Preparar el entorno

Cuando obtenga los archivos de certificado de CA, guárdelos en una ubicación accesible por Tableau Server y anote los nombres de certificado .crt y los archivos de clave y la ubicación donde los haya guardado. Deberá proporcionar esta información a Tableau Server cuando habilite SSL.

Configurar SSL en Tableau Server

Emplee el método con el que se sienta más cómodo.

  1. Abra TSM en un navegador:

    https://<nombre-equipo-tsm>:8850. Para obtener más información, consulte Iniciar sesión en la interfaz de usuario web de Tableau Services Manager.

  2. En la pestaña Configuración, seleccione Seguridad > SSL externa.

    Nota: Si está actualizando o cambiando una configuración existente, haga clic en Restablecer para borrar la configuración existente antes de continuar.

  3. En SSL de servidor web externo, seleccione Habilitar SSL para la comunicación del servidor.

  4. Cargue el certificado y los archivos de clave y, si es necesario para su entorno, cargue el archivo de cadena y especifique la clave de contraseña:

    Configure captura de pantalla SSL

    Si ejecuta Tableau Server en una implementación distribuida, estos archivos se distribuirán automáticamente a cada nodo correcto del clúster.

  5. Haga clic en Guardar cambios pendientes.

  6. Haga clic en Cambios pendientes, en la parte superior de la página:

  7. Haga clic en Aplicar cambios y reiniciar.

Cuando haya copiado los archivos de certificado en el equipo local, ejecute los siguientes comandos:

tsm security external-ssl enable --cert-file <path-to-file.crt> --key-file <path-to-file.key>

tsm pending-changes apply

Consulte la referencia de comandos en tsm security external-ssl enable para determinar si desea incluir más opciones para external-ssl enable. Tableau cuenta con recomendaciones específicas para la opción --protocols.

external-ssl enable command importa la información de los archivos .crt y .key. Si ejecuta este comando en un nodo en un clúster de Tableau Server, también distribuye la información a cualquier otro nodo de la puerta de enlace.

Si los cambios pendientes requieren un reinicio del servidor, el comando pending-changes apply mostrará un mensaje para informarle de que se producirá un reinicio. Este mensaje aparece aunque el servidor esté detenido, pero en ese caso no se reiniciará. Puede suprimir el mensaje con la opción --ignore-prompt, pero no se modificará el comportamiento de reinicio. Si los cambios no requieren un reinicio, se aplicarán sin ningún mensaje. Para obtener más información, consulte tsm pending-changes apply.

Redireccionamiento de puertos y registro

Cuando el servidor está configurado para SSL, acepta solicitudes para el puerto no SSL (el predeterminado es el 80) y automáticamente redirige al puerto SSL 443.

Nota: Tableau Server solo admite el puerto 443 como puerto seguro. No se puede ejecutar en un equipo donde otra aplicación usa el puerto 443.

Los errores de SSL se registran en la siguiente ubicación. Use este registro para la solución de problemas de validación y encriptación:

/var/opt/tableau/tableau_server/data/tabsvc/logs/httpd/error.log

Añadir el puerto SSL al firewall local

Si ejecuta un firewall local, debe añadir el puerto SSL al firewall en Tableau Server. El ejemplo siguiente describe cómo configurar el firewall que se ejecuta en las distribuciones RHEL/CentOS. En el ejemplo se utiliza Firewalld, que es el firewall predeterminado en CentOS.

  1. Inicie firewalld:

    sudo systemctl start firewalld

  2. Añada el puerto 443 para SSL:

    sudo firewall-cmd --permanent --add-port=443/tcp

  3. Vuelva a cargar el firewall y compruebe los ajustes:

    sudo firewall-cmd --reload

    sudo firewall-cmd --list-all

Cambiar o actualizar el certificado SSL

Una vez configurado el SSL, puede que tenga que actualizar periódicamente el certificado. En algunos casos, es posible que necesite cambiar el certificado debido a cambios operativos en su entorno de TI. En cualquier caso, debe utilizar TSM para reemplazar el certificado SSL configurado para el SSL externo.

No copie un nuevo certificado en el directorio de archivos del sistema operativo. En cambio, al agregar el certificado con la interfaz web de TSM o con el comando tsm security external-ssl enable, el archivo del certificado se copia en el almacén de certificados correspondiente. En una implementación distribuida, el certificado también se copia en los nodos del clúster.

Para cambiar o actualizar el certificado SSL (y el archivo de clave correspondiente si es necesario), siga los pasos de la sección anterior de este tema, Configurar SSL en Tableau Server.

Después de cambiar el certificado, debe ejecutar tsm pending-changes apply para reiniciar los servicios de Tableau Server. También recomendamos reiniciar cualquier otro servicio en el equipo que utilice el certificado SSL. Si va a cambiar un certificado raíz en el sistema operativo, debe reiniciar el equipo.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!