Exemple : Certificat SSL - Générer une clé et une demande CSR

Important : cet exemple propose des conseils généraux aux professionnels informatiques maîtrisant les exigences et la configuration SSL. La procédure décrite dans cet article ne représente que l’une des nombreuses méthodes disponibles que vous pouvez utiliser pour générer les fichiers requis. Le processus décrit ici doit donc être traité comme un exemple, et non comme une recommandation.


Lorsque vous configurez Tableau Server de manière à utiliser le cryptage Secure Sockets Layer (SSL), vous avez l’assurance que l’accès au serveur est sécurisé et que les données envoyées entre Tableau Server et Tableau Desktop sont protégées.

Tableau Server utilise Apache, qui inclut OpenSSL(Le lien s’ouvre dans une nouvelle fenêtre). Vous pouvez utiliser le kit d’outils OpenSSL pour générer un fichier clé et une demande de signature de certificat (CSR) qui peuvent ensuite être utilisés pour obtenir un certificat SSL signé.

Remarque : depuis les versions 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 et ultérieures de Tableau Server, Tableau Server exécute OpenSSL 3.1.

Procédure de génération d’une clé et d’une demande CSR

Pour configurer Tableau Server de manière à ce qu’il utilise SSL, vous devez posséder un certificat SSL. Pour obtenir le certificat SSL, procédez comme suit :

  1. Générer un fichier clé.
  2. Créer une demande de signature de certificat (CSR).
  3. Envoyer la demande CSR à une autorité de certification pour obtenir un certificat SSL.
  4. Utiliser la clé et le certificat pour configurer Tableau Server de manière à utiliser SSL.

Vous trouverez des informations supplémentaires dans la page de FAQ sur SSL(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web de l’Apache Software Foundation.

Configurer un certificat pour plusieurs noms de domaine

Tableau Server autorise SSL pour plusieurs domaines. Pour configurer cet environnement, vous devez modifier le fichier de configuration OpenSSL, openssl.conf, et configurer un certificat SAN (Subject Alternative Name, ou nom alternatif du sujet) sur Tableau Server. Consultez Pour les certificats SAN : modifier le fichier de configuration OpenSSL ci-dessous.

Générer une clé

Générez un fichier clé que vous utiliserez pour générer une demande de signature de certificat.

  1. Exécutez la commande suivante pour créer le fichier clé :

    openssl genrsa -out <yourcertname>.key 4096

    Remarques :
    • cette commande utilise une longueur de clé de 4096 bits. Vous devriez choisir une longueur de bits d’au moins 2048 bits parce que la communication cryptée avec une longueur de bits inférieure offre moins de sécurité. Si aucune valeur n’est fournie, 512 bits est utilisé.
    • Pour créer des clés RSA PKCS#1 avec les versions 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 et ultérieures de Tableau Server, vous devez utiliser l’option supplémentaire -traditional en exécutant la commande openssl genrsa" basée sur OpenSSL 3.1. Pour plus d’informations sur l’option, consultez https://www.openssl.org/docs/man3.1/man1/openssl-rsa.html(Le lien s’ouvre dans une nouvelle fenêtre).

Créer une demande de signature de certificat à envoyer à une autorité de certification

Utilisez le fichier clé que vous avez créé dans la procédure ci-dessus pour générer la demande de signature de certificat (CSR). Vous envoyez la demande CSR à une autorité de certification pour obtenir un certificat signé.

Important : si vous souhaitez configurer un certificat SAN pour utiliser SSL pour plusieurs domaines, complétez d’abord les étapes décrites dans Pour les certificats SAN : modifier le fichier de configuration OpenSSL ci-dessous, puis revenez ici pour générer une demande CSR.

  1. Exécutez la commande suivante pour créer un fichier de demande de signature de certificat (CSR) :

    openssl req -new -key yourcertname.key -out yourcertname.csr  -config /opt/tableau/tableau_server/packages/apache.<version>/conf/openssl.cnf

  2. À l’invite, saisissez les informations requises.

    Remarque : pour Nom courant, entrez le nom de Tableau Server. Le nom de Tableau Server est l’URL qui sera utilisé pour accéder à Tableau Server. Par exemple, si vous accédez à Tableau Server en saisissant tableau.example.com dans la barre d’adresses de votre navigateur, tableau.example.com est le nom courant. Si le nom courant ne résout pas le nom du serveur, des erreurs se produisent lorsqu’un navigateur ou Tableau Desktop tente de se connecter à Tableau Server.

Envoyer la demande CSR à une autorité de certification pour obtenir un certificat SSL

Envoyez la demande CSR à une autorité de certification (CA) pour demander le certificat numérique. Pour des informations, consultez l’article de la Wikipedia Autorité de certification(Le lien s’ouvre dans une nouvelle fenêtre) et tout article associé qui vous aidera à déterminer la CA à utiliser.

Utiliser la clé et le certificat pour configurer Tableau Server

Lorsque vous êtes en possession à la fois de la clé et du certificat de l’autorité de certification, vous pouvez configurer Tableau Server de manière à utiliser SSL. Consultez Configurer SSL externe pour connaître la procédure.

Pour les certificats SAN : modifier le fichier de configuration OpenSSL

Dans une installation standard d’OpenSSL, certaines fonctions ne sont pas activées par défaut. Pour utiliser SSL avec plusieurs noms de domaine, avant de générer la demande CSR, effectuez la procédure suivante pour modifier le fichier openssl.cnf.

  1. Accédez au dossier Apache conf pour Tableau Server.

    Par exemple : /opt/tableau/tableau_server/packages/apache.<version_code>/conf

  2. Ouvrez openssl.cnf dans un éditeur de texte et trouvez la ligne suivante : req_extensions = v3_req

    Cette ligne peut être commentée avec un signe dièse (#) au début de la ligne.

    Si la ligne est commentée, annulez le commentaire en supprimant les caractères # et space du début de la ligne.

  3. Accédez à la section [ v3_req ] du fichier. Les premières lignes contiennent le texte suivant :

    # Extensions to add to a certificate request
    basicConstraints = CA:FALSE
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment

    Après la ligne keyUsage, insérez la ligne suivante :

    subjectAltName = @alt_names

    Si vous créez un certificat SAN auto-signé, procédez ainsi pour donner au certificat l’autorisation de signer le certificat :

    1. Ajoutez cRLSign et keyCertSign à la ligne keyUsage pour qu’elle se présente ainsi : keyUsage = nonRepudiation, digitalSignature, keyEncipherment, cRLSign, keyCertSign

    2. Après la ligne keyUsage, insérez la ligne suivante : subjectAltName = @alt_names

  4. Dans la section [alt_names], indiquez les noms de domaine que vous souhaitez utiliser avec SSL.

    DNS.1 = [domain1]
    DNS.2 = [domain2]
    DNS.3 = [etc]

    L’image suivante montre les résultats en surbrillance, avec le texte d’espace réservé que vous devez remplacer par vos noms de domaine.

  5. Enregistrez et fermez le fichier.

  6. Effectuez la procédure décrite dans la section Créer une demande de signature de certificat à envoyer à une autorité de certification ci-dessus.

Merci de vos commentaires !Avis correctement envoyé. Merci