Tableau Server에서 들어오고 나가는 외부 HTTP 트래픽에 대해 SSL 구성
Tableau Server에서 모든 외부 HTTP 트래픽에 대해 SSL(Secure Sockets Layer) 암호화된 통신을 사용하도록 구성할 수 있습니다. SSL을 설정하면 Tableau Server에 대한 액세스가 보안 설정되며, 서버와 Tableau Desktop, REST API, 분석 확장 프로그램 등과 같은 Tableau 클라이언트 간에 전달되는 민감한 정보가 보호됩니다. 이 항목에는 SSL을 사용하도록 서버를 구성하는 방법에 대한 단계가 설명되어 있지만 먼저 신뢰된 인증 기관에서 인증서를 받고 인증서 파일을 Tableau Server로 가져와야 합니다.
Tableau Mobile에서는 상호 SSL 인증이 지원되지 않습니다.
SSL 인증서 요구 사항
신뢰할 수 있는 기관(예: Verisign, Thawte, Comodo, GoDaddy)에서 Apache SSL 인증서를 받아야 합니다. 회사에서 발급한 내부 인증서를 사용할 수도 있습니다. 동일한 도메인 내에서 여러 호스트 이름으로 SSL을 사용할 수 있는 와일드카드 인증서도 지원됩니다.
Tableau Server와의 외부 통신을 위해 SSL 인증서를 받은 경우 다음 지침 및 요구 사항을 따르십시오.
모든 인증서 파일은 확장명이
.crt
인 유효한 PEM 인코딩 X509 인증서여야 합니다.SHA-2(256 또는 512비트) SSL 인증서를 사용합니다. 대부분의 브라우저에서는 SHA-1 인증서를 제공하는 서버에 더 이상 연결하지 않습니다.
인증서 파일 외에도 해당 SSL 인증서 키 파일을 얻어야 합니다. 키 파일은 유효한 RSA 또는 DSA 개인 키 파일(규칙에 따라 확장명이
.key
인 파일)이어야 합니다.키 파일을 암호로 보호하도록 선택할 수 있습니다. 구성 중에 입력한 암호는 유휴 시간 중에 암호화됩니다. 하지만 SSL 및 SAML에 대해 동일한 인증서를 사용하려는 경우 암호로 보호되지 않는 키 파일을 사용해야 합니다.
중요: 키 파일이 암호로 보호되어 있는 경우 실행 중인 Tableau Server 버전에서 관련 암호화 알고리즘이 지원되는지 확인해야 합니다. Tableau Server는 OpenSSL을 사용하여 비밀번호로 보호된 키 파일을 엽니다. 2023년 8월부터 Tableau Server의 최신 릴리스(2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 이상)에서는 OpenSSL 3.1을 실행합니다. 이전 버전의 Tableau Server는 OpenSSL 1.1을 실행했습니다. 다수의 암호화 알고리즘이 사용 중지되었으며 OpenSSL 3.1에서는 더 이상 지원되지 않습니다. 아직 OpenSSL 1.1을 실행 중인 이전 버전의 Tableau Server에서 암호로 보호된 키 파일을 사용하는 경우 최신 버전의 Tableau Server로 업그레이드하기 전에 기술 자료 문서 Tableau Server 2022.1.17로 업그레이드한 후 키 파일을 보호하기 위해 암호와 함께 외부 SSL을 사용할 때 게이트웨이 및 Prep Conductor가 시작되지 않음(링크가 새 창에서 열림)를 검토하십시오.
SSL 인증서 체인 파일: Mac 기반 Tableau Desktop, Mac 기반 Tableau Prep Builder 및 Windows 기반 Tableau Prep Builder에는 인증서 체인 파일이 필요합니다. 휴대기기의 iOS 또는 Android 운영 체제에서 Tableau Server의 인증서 체인을 신뢰하지 않는 경우 Tableau Mobile 앱에서도 이 체인 파일이 필요합니다.
체인 파일은 서버 인증서의 인증서 체인을 형성하는 모든 인증서의 연결입니다. 파일 내의 모든 인증서는 x509 PEM 인코딩이어야 하며 파일 확장명은
.pem
이 아니라.crt
여야 합니다.Tableau Server는 다수의 하위 도메인에 대해 와일드카드 인증서를 지원합니다.
클라이언트에서 Tableau Server에 연결할 때 사용하는 도메인, 호스트 이름 또는 IP 주소가 SAN(주체 대체 이름) 필드에 포함되어 있는지 확인합니다. 많은 클라이언트(Tableau Prep, Chrome 및 Firefox 브라우저 등)에서 보안 연결을 설정하려면 SAN 필드의 항목이 유효해야 합니다.
참고: Tableau Server에서 SAML을 사용하는 SSO(Single Sign-On)를 구성할 계획이라면 SAML 요구 사항의 SAML에 대한 SSL 인증서 및 키 파일 사용를 참조하여 SSL과 SAML 모두에 동일한 인증서 파일을 사용할지 여부를 결정하십시오.
클러스터에 대해 SSL 구성
Tableau Server 클러스터에서 SSL을 사용하도록 구성할 수 있습니다. 초기 노드가 게이트웨이 프로세스를 실행(기본 설정)하는 유일한 노드인 경우 이 항목에 설명된 단계에 따라 해당 노드에서만 SSL을 구성해야 합니다.
다중 게이트웨이를 포함하는 SSL
고가용성 Tableau Server 클러스터는 앞에 부하 분산 장치가 있는 다중 게이트웨이를 포함할 수 있습니다. 이 유형의 클러스터를 SSL용으로 구성하는 경우 다음과 같은 옵션을 사용할 수 있습니다.
SSL에 대해 부하 분산 장치 구성: 클라이언트 웹 브라우저에서 부하 분산 장치로의 트래픽이 암호화됩니다. 부하 분산 장치에서 Tableau Server 게이트웨이 프로세스로의 트래픽은 암호화되지 않습니다. Tableau Server에서는 SSL을 구성하지 않아도 됩니다. 부하 분산 장치가 모두 처리합니다.
SSL에 대해 Tableau Server 구성: 클라이언트 웹 브라우저에서 부하 분산 장치로의 트래픽 및 부하 분산 장치에서 Tableau Server 게이트웨이 프로세스로의 트래픽이 암호화됩니다. 자세한 내용은 다음 섹션을 참조하십시오.
Tableau Server 클러스터 환경에 대한 추가 구성 정보
게이트웨이 프로세스를 실행하는 모든 Tableau Server 노드에서 SSL을 사용하려면 다음 단계를 수행하십시오.
SSL 통과에 대해 외부 부하 분산 장치를 구성합니다.
443이 아닌 포트를 사용하려는 경우 표준이 아닌 포트를 클라이언트에서 종료하도록 외부 부하 분산 장치를 구성할 수 있습니다. 그런 다음 나중에 포트 443을 통해 Tableau Server에 연결하도록 부하 분산 장치를 구성할 수 있습니다. 도움이 필요한 경우 부하 분산 장치에 제공된 설명서를 참조하십시오.
부하 분산 장치의 호스트 이름에 대한 SSL 인증서가 발급되었는지 확인합니다.
SSL의 초기 Tableau Server 노드를 구성합니다.
상호 SSL을 사용하는 경우 SSL CA 인증서 파일을 업로드합니다. 자세한 내용은
tsm authentication mutual-ssl <commands>
를 참조하십시오.
SSL 인증서 및 키 파일은 구성 프로세스의 일부로 각 노드에 배포됩니다.
환경 준비
CA에서 받은 인증서를 Tableau Server가 액세스할 수 있는 위치에 저장하고 인증서 .crt 및 .key 파일의 이름과 저장 위치를 기록합니다. SSL을 사용하도록 설정할 때 이 정보를 Tableau Server에 제공해야 합니다.
Tableau Server에서 SSL 구성
가장 익숙한 방법을 사용합니다.
브라우저에서 TSM을 엽니다.
https://<tsm-computer-name>:8850. 자세한 내용은 Tableau 서비스 관리자 웹 UI에 로그인을 참조하십시오.
구성 탭에서 보안 > 외부 SSL을 선택합니다.
참고: 기존 구성을 업데이트하거나 변경하는 경우 계속하기 전에 재설정을 클릭하여 기존 설정을 지우십시오.
외부 웹 서버 SSL에서 서버 통신에 SSL 사용을 선택합니다.
인증서와 키 파일을 업로드하고 환경에 필요한 경우 체인 파일을 업로드한 다음 암호 키를 입력합니다.
분산 배포에서 Tableau Server를 실행하는 경우 이러한 파일은 클러스터의 적절한 각 노드에 자동으로 배포됩니다.
보류 중인 변경 내용 저장을 클릭합니다.
페이지 맨 위에서 보류 중인 변경 내용을 클릭합니다.
변경 내용 적용 후 다시 시작을 클릭합니다.
인증서 파일을 로컬 컴퓨터에 복사한 후 다음 명령을 실행합니다.
tsm security external-ssl enable --cert-file <path-to-file.crt> --key-file <path-to-file.key>
tsm pending-changes apply
tsm security external-ssl enable에서 명령 참조를 확인하여 external-ssl enable
에 대한 추가 옵션을 포함할지 여부를 결정합니다. Tableau에는 --protocols
옵션과 관련된 권장 사항이 있습니다.
external-ssl enable command
는 .crt 및 .key 파일에서 정보를 가져옵니다. Tableau Server 클러스터의 노드에서 이 명령을 실행하는 경우 다른 게이트웨이 노드에도 정보가 분산됩니다.
보류 중인 변경 내용을 적용하려면 서버를 다시 시작해야 하는 경우 pending-changes apply
명령은 서버가 다시 시작됨을 알리는 메시지를 표시합니다. 서버가 중지된 경우에도 이 메시지가 표시되지만 이 경우 다시 시작은 없습니다. --ignore-prompt
옵션을 사용하여 이 메시지를 표시하지 않을 수 있지만 다시 시작 동작은 변경되지 않습니다. 변경 내용을 적용해도 다시 시작할 필요가 없는 경우 메시지 없이 변경 내용이 적용됩니다. 자세한 내용은 tsm pending-changes apply를 참조하십시오.
포트 리디렉션 및 로깅
서버가 SSL로 구성된 후 서버는 SSL이 아닌 포트(기본값: 포트 80)에 대한 요청을 수락하고 자동으로 SSL 포트 443으로 리디렉션됩니다.
참고: Tableau Server는 보안 포트로 포트 443만 지원합니다. 다른 응용 프로그램이 포트 443을 사용하고 있는 컴퓨터에서는 실행되지 않습니다.
SSL 오류는 다음 위치에 기록됩니다. 이 로그를 사용하여 유효성 검사 및 암호화 문제를 해결합니다.
/var/opt/tableau/tableau_server/data/tabsvc/logs/httpd/error.log
로컬 방화벽에 SSL 포트 추가
로컬 방화벽을 실행하고 있다면 Tableau Server의 방화벽에 SSL 포트를 추가해야 합니다. 아래 예제에서는 RHEL/CentOS 배포판에서 실행되는 방화벽을 구성하는 방법에 대해 설명합니다. 예제에서는 CentOS의 기본 방화벽인 Firewalld를 사용합니다.
firewalld를 시작합니다.
sudo systemctl start firewalld
SSL용으로 포트 443을 추가합니다.
sudo firewall-cmd --permanent --add-port=443/tcp
방화벽을 다시 로드하고 설정을 확인합니다.
sudo firewall-cmd --reload
sudo firewall-cmd --list-all
SSL 인증서 변경 또는 업데이트
SSL을 구성한 후 인증서를 주기적으로 업데이트해야 할 수 있습니다. 일부 경우 IT 환경의 운영 변경을 위해 인증서를 변경해야 할 수 있습니다. 어느 경우에나 TSM을 사용하여 이미 외부 SSL용으로 구성되어 있는 SSL 인증서를 교체해야 합니다.
새 인증서를 운영 체제의 파일 디렉터리에 복사하지 마십시오. 대신 TSM 웹 UI 또는 tsm security external-ssl enable
명령을 사용하여 인증서를 추가할 때 인증서 파일이 적절한 인증서 저장소에 복사됩니다. 분산 배포에서는 인증서가 클러스터의 노드에도 복사됩니다.
SSL 인증서(필요한 경우 해당하는 키 파일 포함)를 변경하거나 업데이트하려면 이 항목의 이전 Tableau Server에서 SSL 구성 섹션의 단계를 따르십시오.
인증서를 변경한 후 tsm pending-changes apply
를 실행하여 Tableau Server 서비스를 다시 시작해야 합니다. 컴퓨터에서 SSL 인증서를 사용하는 다른 모든 서비스도 다시 시작하는 것이 좋습니다. 운영 체제의 루트 인증서를 변경하는 경우 컴퓨터를 다시 부팅해야 합니다.