Voorbeeld: SSL-certificaat: een sleutel en CSR genereren


Belangrijk: dit voorbeeld is bedoeld als algemene leidraad voor IT-professionals die ervaring hebben met SSL-vereisten en -configuratie. De procedure die in dit artikel wordt beschreven, is slechts een van de vele methoden die u kunt gebruiken om de vereiste bestanden te genereren. Het hier beschreven proces moet worden beschouwd als een voorbeeld en niet als een aanbeveling.

Wanneer u Tableau Server configureert voor het gebruik van SSL-codering (Secure Sockets Layer), zorgt u dat de toegang tot de server veilig is en dat de data die tussen Tableau Server en Tableau Desktop worden verzonden, worden beschermd.

Zoekt u naar Tableau Server in Windows? Zie Voorbeeld: SSL-certificaat: een sleutel en CSR genereren(Link wordt in een nieuw venster geopend).

Tableau Server maakt gebruik van Apache, dat onder andere het volgende omvat: OpenSSL(Link wordt in een nieuw venster geopend). U kunt de OpenSSL-toolkit gebruiken om een sleutelbestand en een Certificate Signing Request (CSR) te genereren. Deze kunnen vervolgens worden gebruikt om een ondertekend SSL-certificaat te verkrijgen.

Opmerking: vanaf Tableau Server-versies 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 en wordt Tableau Server uitgevoerd op OpenSSL 3.1.

Stappen om een sleutel en CSR te genereren

Om Tableau Server te configureren voor het gebruik van SSL, hebt u een SSL-certificaat nodig. Om het SSL-certificaat te verkrijgen, voltooit u de volgende stappen:

  1. Een sleutelbestand genereren.
  2. Een Certificate Signing Request (CSR) aanmaken.
  3. De CSR naar een certificeringsinstantie (CA) verzenden om een SSL-certificaat te verkrijgen.
  4. De sleutel en het certificaat gebruiken om Tableau Server te configureren voor het gebruik van SSL.

Meer informatie vindt u op de SSL FAQ-pagina(Link wordt in een nieuw venster geopend) op de website van de Apache Software Foundation.

Een certificaat configureren voor meerdere domeinnamen

Tableau Server staat SSL toe voor meerdere domeinen. Om deze omgeving in te stellen, moet u het OpenSSL-configuratiebestand openssl.conf aanpassen en een certificaat voor de Subject Alternative Name (SAN) configureren op Tableau Server. Zie Voor SAN-certificaten: het OpenSSL-configuratiebestand wijzigen hieronder.

Een sleutel genereren

Genereer een sleutelbestand dat u gaat gebruiken om een aanvraag voor certificaatondertekening te genereren.

  1. Voer de volgende opdracht uit om het sleutelbestand te maken:

    openssl genrsa -out <yourcertname>.key 4096

    Opmerkingen:
    • Deze opdracht gebruikt een sleutellengte van 4.096 bits. U dient een bitlengte van minimaal 2.048 bits te kiezen, omdat communicatie die met een kortere bitlengte is gecodeerd, minder veilig is. Als er geen waarde wordt opgegeven, worden 512 bits gebruikt.
    • Om PKCS#1 RSA-sleutels te maken met Tableau Server-versies 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 en hoger, moet u de extra optie -traditional gebruiken tijdens het uitvoeren van de opdracht openssl genrsa. Dit is gebaseerd op OpenSSL 3.1. Zie https://www.openssl.org/docs/man3.1/man1/openssl-rsa.html(Link wordt in een nieuw venster geopend) voor meer informatie over de optie.

Een aanvraag voor certificaatondertekening maken om naar een certificeringsinstantie te sturen

Gebruik het sleutelbestand dat u in de bovenstaande procedure hebt gemaakt om de aanvraag voor certificaatondertekening (CSR) te genereren. U stuurt de CSR naar een certificeringsinstantie (CA) om een ondertekend certificaat te verkrijgen.

Belangrijk: als u een SAN-certificaat wilt configureren om SSL voor meerdere domeinen te gebruiken, voltooit u eerst de stappen in Voor SAN-certificaten: het OpenSSL-configuratiebestand wijzigen hieronder. Keer dan hier terug om een CSR te genereren.

  1. Voer de volgende opdracht uit om een aanvraagbestand voor certificaatondertekening (CSR) te maken:

    openssl req -new -key yourcertname.key -out yourcertname.csr  -config /opt/tableau/tableau_server/packages/apache.<version>/conf/openssl.cnf

  2. Voer de vereiste data in wanneer daarom wordt gevraagd.

    Opmerking: typ voor Algemene naam de naam van de Tableau-server. De naam van de Tableau-server is de URL die wordt gebruikt om de Tableau-server te bereiken. Als u bijvoorbeeld Tableau Server bereikt door tableau.example.com te typen in de adresbalk van uw browser, dan is tableau.example.com de algemene naam. Als de algemene naam niet wordt omgezet naar de servernaam, treden er fouten op wanneer een browser of Tableau Desktop verbinding probeert te maken met Tableau Server.

De CSR naar een certificeringsinstantie (CA) verzenden om een SSL-certificaat te verkrijgen.

Stuur het CSR naar een commerciële certificaatautoriteit (CA) om het digitale certificaat aan te vragen. Zie voor informatie het Wikipedia-artikel Certificaatautoriteit(Link wordt in een nieuw venster geopend) en alle gerelateerde artikelen die u helpen beslissen welke CA u moet gebruiken.

De sleutel en het certificaat gebruiken om Tableau Server te configureren

Wanneer u de sleutel en het certificaat van de CA hebt, kunt u Tableau Server configureren voor het gebruik van SSL. Zie Externe SSL configureren voor de betreffende stappen.

Voor SAN-certificaten: het OpenSSL-configuratiebestand wijzigen

Bij een standaardinstallatie van OpenSSL zijn sommige functies standaard niet ingeschakeld. Om SSL met meerdere domeinnamen te kunnen gebruiken, moet u deze stappen uitvoeren om het openssl.cnf-bestand te wijzigen voordat u de CSR genereert.

  1. Ga naar de map Apache conf voor Tableau Server.

    Bijvoorbeeld: /opt/tableau/tableau_server/packages/apache.<version_code>/conf

  2. Open openssl.cnf in een teksteditor en zoek de volgende regel: req_extensions = v3_req

    Deze regel kan worden uitgeschakeld met een hekje (#) aan het begin van de regel.

    Als de regel is uitgeschakeld met een opmerking, verwijder dan de # en tekenafstanden vanaf het begin van de regel.

  3. Ga naar het deel [ v3_req ] van het bestand. De eerste paar regels bevatten de volgende tekst:

    # Extensions to add to a certificate request
    basicConstraints = CA:FALSE
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment

    Voeg de volgende regel in na de regel keyUsage:

    subjectAltName = @alt_names

    Als u een zelfondertekend SAN-certificaat maakt, doet u het volgende om het certificaat toestemming te geven om het certificaat te ondertekenen:

    1. Voeg de cRLSign en keyCertSign toe aan de regel keyUsage zodat deze er als volgt uitziet: keyUsage = nonRepudiation, digitalSignature, keyEncipherment, cRLSign, keyCertSign

    2. Voeg de volgende regel toe na de regel keyUsage: subjectAltName = @alt_names

  4. Geef in het gedeelte [alt_namen] de domeinnamen op die u met SSL wilt gebruiken.

    DNS.1 = [domain1]
    DNS.2 = [domain2]
    DNS.3 = [etc]

    De onderstaande afbeelding toont de resultaten gemarkeerd, met tijdelijke tekst die u kunt vervangen door uw domeinnamen.

  5. Sla het bestand op en sluit het af.

  6. Voltooi de stappen in het deel Een aanvraag voor certificaatondertekening maken om naar een certificeringsinstantie te sturen hierboven.

Terug naar boven