Configurare SSL per il traffico HTTP esterno da e verso Tableau Server

Puoi configurare Tableau Server per utilizzare le comunicazioni crittografate SSL (Secure Sockets Layer) per tutto il traffico HTTP esterno. L’impostazione di SSL garantisce che l’accesso a Tableau Server sia sicuro e che le informazioni riservate trasmesse tra il server e i client Tableau, ad esempio Tableau Desktop, l’API REST, le estensioni di analisi e così via, siano protette. Questo argomento descrive i passaggi per la configurazione del server per SSL. Devi tuttavia acquisire un certificato da un’autorità attendibile e successivamente importare i file del certificato in Tableau Server.

L’autenticazione SSL reciproca non è supportata su Tableau Mobile.

Requisiti del certificato SSL

Acquisisci un certificato SSL Apache da un’autorità attendibile (ad esempio, Verisign, Thawte, Comodo, GoDaddy). Puoi utilizzare anche un certificato interno rilasciato dalla tua azienda. Sono supportati inoltre i certificati con caratteri jolly che ti consentono di utilizzare SSL con molti nomi host nello stesso dominio.

Quando ottieni un certificato SSL per la comunicazione esterna da e verso Tableau Server, segui le linee guida e i requisiti seguenti:

  • Tutti i file dei certificati devono essere certificati X509 validi con codifica PEM ed estensione .crt.

  • Utilizza un certificato SSL SHA-2 (256 o 512 bit). La maggior parte dei browser non si connettono più a un server che presenta un certificato SHA-1.

  • Oltre al documento di certificato, devi anche acquisire un file chiave di certificato SSL corrispondente. Il file chiave deve essere un file chiave privato RSA o DSA valido (avente l’estensione .key per convenzione).

    Puoi scegliere di proteggere il file chiave tramite passphrase. La passphrase inserita durante la configurazione sarà crittografata a riposo. Se tuttavia desideri utilizzare lo stesso certificato per SSL e SAML, devi utilizzare un file chiave non protetto da passphrase.

    Importante: se il file chiave è protetto da passphrase, devi verificare che il algoritmo crittografico correlato sia supportato dalla versione di Tableau Server in esecuzione. Tableau Server utilizza OpenSSL per aprire file chiave protetti da password. A partire da agosto 2023, le ultime versioni di Tableau Server (2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 e versioni successive) eseguono OpenSSL 3.1. Le versioni precedenti di Tableau Server eseguivano OpenSSL 1.1. Numerosi algoritmi crittografici sono stati ritirati e non sono più supportati in OpenSSL 3.1. Se utilizzi un file chiave protetto da passphrase in una versione precedente di Tableau Server che esegue ancora OpenSSL 1.1, consulta il seguente articolo della Knowledge Base prima di eseguire l’upgrade alla versione più recente di Tableau Server: Gateway and Prep Conductor failed to start when using External SSL with passphrase to protect the key file after upgrade to Tableau Server 2022.1.17(Il collegamento viene aperto in una nuova finestra).

  • File della catena di certificati SSL: per Tableau Desktop su Mac e per Tableau Prep Builder su Mac e Tableau Prep Builder su Windows è necessario un file della catena di certificati. Il file della catena di certificati per Tableau Server è necessario anche per l’app Tableau Mobile se la catena di certificati non è considerata attendibile dal sistema operativo iOS o Android sul dispositivo mobile.

    Il certificato della catena non è altro che una concatenazione di tutti i certificati che formano la catena di certificati per il certificato del server. Tutti i certificati nel file devono essere codificati con PEM x509 e il documento deve essere dotato dell’estensione .crt. Non usare il formato file .pem.

  • Per più sottodomini, Tableau Server supporta i certificati con carattere jolly.

  • Verifica che il dominio, il nome host o l’indirizzo IP che i client utilizzano per connettersi a Tableau Server sia incluso nel campo SAN (Subject Alternative Name). Molti client (Tableau Prep, browser Chrome e Firefox e così via) richiedono una voce valida nel campo SAN per stabilire una connessione sicura.

Nota: se prevedi di configurare Tableau Server per gli accessi Single-Sign On tramite SAML, vedi Utilizzo del certificato SSL e dei file chiave per SAML nei requisiti SAML per determinare se utilizzare gli stessi documenti di certificato per SSL e SAML.

Configurare SSL per un cluster

Puoi configurare un cluster Tableau Server per l’utilizzo di SSL. Se il nodo iniziale è l’unico che esegue il processo gateway (per impostazione predefinita) devi configurare SSL esclusivamente in quel nodo, utilizzando i passaggi descritti in questo argomento.

SSL con gateway multipli

Un cluster Tableau Server a disponibilità elevata può includere più gateway, gestiti da un servizio di bilanciamento del carico. Se configuri questo tipo di cluster per SSL, sono disponibili le opzioni seguenti:

  • Configura il servizio di bilanciamento del carico per SSL: il traffico viene crittografato dai browser Web client al servizio di bilanciamento del carico. Il traffico dal servizio di bilanciamento del carico ai processi gateway Tableau Server non è crittografato. Non è richiesta alcuna configurazione SSL in Tableau Server. È tutto gestito dal servizio di bilanciamento del carico.

  • Configura Tableau Server per SSL: il traffico viene crittografato dai browser Web client al servizio di bilanciamento del carico e dal servizio di bilanciamento del carico ai processi gateway Tableau Server. Per maggiori informazioni, passa alla sezione seguente.

Ulteriori informazioni relative alla configurazione per gli ambienti cluster di Tableau Server

Quando desideri utilizzare SSL in tutti i nodi di Tableau Server che eseguono un processo gateway, esegui la procedura seguente.

  1. Configura il servizio di bilanciamento del carico esterno per SSL passthrough.

    Se desideri utilizzare una porta diversa da 443, puoi configurare il servizio di bilanciamento del carico esterno per terminare in una porta non standard del client. In questo scenario configurerai quindi il servizio di bilanciamento del carico per la connessione a Tableau Server oltre la porta 443. Per assistenza, fai riferimento alla documentazione fornita per il servizio di bilanciamento del carico.

  2. Verifica che il certificato SSL sia stato rilasciato per il nome host del servizio di bilanciamento del carico.

  3. Configura il nodo iniziale Tableau Server per SSL.

  4. Se utilizzi l’autenticazione SSL reciproca, carica il file del certificato dell’autorità di certificazione SSL. Consulta tsm authentication mutual-ssl <comandi>.

Il certificato SSL e i file chiave saranno distribuiti su ogni nodo come parte del processo di configurazione.

Preparare l’ambiente

Quando ottieni i file di certificato dalla CA, devi salvarli in un percorso accessibile da Tableau Server, annotare i nomi dei file di certificato con estensione crt e key e il percorso in cui li salvi. Sarà necessario fornire queste informazioni a Tableau Server quando abiliti l’autenticazione SSL.

Configurare SSL su Tableau Server

Utilizza il metodo che ritieni più adatto.

  1. Apri TSM in un browser:

    https://<nome-computer-tsm>:8850. Per maggiori informazioni, consulta Accedere all’interfaccia utente Web di Tableau Services Manager.

  2. Nella scheda Configurazione, seleziona Sicurezza > SSL esterno.

    Nota: se stai aggiornando o modificando una configurazione esistente, fai clic su Ripristina per cancellare le impostazioni esistenti prima di procedere.

  3. In SSL server Web esterno, seleziona Abilita SSL per comunicazione server.

  4. Carica i file del certificato e della chiave e, se necessario per l’ambiente, carica il file della catena e immetti la chiave della passphrase:

    Screenshot della configurazione di SSL

    Se esegui Tableau Server in una distribuzione distribuita, i file saranno distribuiti automaticamente su ogni nodo del cluster.

  5. Fai clic su Salva modifiche in sospeso.

  6. Fai clic su Modifiche in sospeso nella parte superiore della pagina:

  7. Fai clic su Applica modifiche e riavvia.

Dopo aver copiato i file del certificato nel computer locale, esegui i comandi seguenti:

tsm security external-ssl enable --cert-file <path-to-file.crt> --key-file <path-to-file.key>

tsm pending-changes apply

Vedi il riferimento al comando in tsm security external-ssl enable per determinare se desideri includere altre opzioni per external-ssl enable. Tableau fornisce consigli specifici per l’opzione --protocols.

external-ssl enable command importa le informazioni dai file con estensione crt e key. Se esegui questo comando in un nodo in un cluster Tableau Server, le informazioni vengono distribuite anche in qualsiasi altro nodo del gateway.

Se le modifiche in sospeso richiedono il riavvio del server, il comando pending-changes apply visualizzerà un messaggio per segnalare che verrà eseguito un riavvio. Questo messaggio viene visualizzato anche se il server è stato arrestato, ma in questo caso il riavvio non viene eseguito. Puoi eliminare la richiesta usando l’opzione --ignore-prompt, ma questo non modifica il comportamento del riavvio. Se le modifiche non richiedono un riavvio, vengono applicate senza visualizzare alcun messaggio. Per maggiori informazioni, consulta tsm pending-changes apply.

Reindirizzare e registrare le porte

Quando il server è stato configurato per SSL, accetta le richieste della porta non SSL (porta 80, per impostazione predefinita) e viene automaticamente reindirizzato alla porta SSL 443.

Nota: Tableau Server supporta solo la porta 443 come porta sicura. Non può essere eseguito su un computer in cui un’altra applicazione utilizza la porta 443.

Gli errori SSL vengono registrati nel percorso seguente. Utilizza questo registro per risolvere i problemi di convalida e crittografia:

/var/opt/tableau/tableau_server/data/tabsvc/logs/httpd/error.log

Aggiungere la porta SSL al firewall locale

Se esegui un firewall locale, devi aggiungere la porta SSL al firewall in Tableau Server. L’esempio seguente illustra come configurare il firewall in esecuzione sulle distribuzioni RHEL/CentOS. L’esempio utilizza Firewalld, che corrisponde al firewall predefinito su CentOS.

  1. Avvia firewalld:

    sudo systemctl start firewalld

  2. Aggiungi la porta 443 per SSL:

    sudo firewall-cmd --permanent --add-port=443/tcp

  3. Ricarica il firewall e verifica le impostazioni:

    sudo firewall-cmd --reload

    sudo firewall-cmd --list-all

Modificare o aggiornare il certificato SSL

Dopo aver configurato SSL, potrebbe essere necessario aggiornare periodicamente il certificato. In alcuni casi, potrebbe essere necessario modificare il certificato a causa di cambiamenti operativi nell’ambiente IT. In entrambi i casi, devi utilizzare TSM per sostituire il certificato SSL già configurato per SSL esterno.

Non copiare un nuovo certificato nella directory dei file del sistema operativo. Quando aggiungi il certificato con l’interfaccia Web di TSM o il comando tsm security external-ssl enable, il file del certificato viene copiato nell’archivio certificati appropriato. In una distribuzione distribuita, il certificato viene anche copiato nei nodi del cluster.

Per modificare o aggiornare il certificato SSL (e il file chiave corrispondente, se necessario), segui i passaggi nella sezione precedente di questo argomento, Configurare SSL su Tableau Server.

Dopo aver modificato il certificato, devi eseguire tsm pending-changes apply per riavviare i servizi di Tableau Server. È inoltre consigliabile riavviare qualsiasi altro servizio sul computer che utilizza il certificato SSL. Se si modifica un certificato radice nel sistema operativo, è necessario riavviare il computer.

Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!