SSL configureren voor extern HTTP-verkeer naar en vanaf Tableau Server
U kunt Tableau Server configureren om met SSL versleutelde communicatie (Secure Sockets Layer) te gebruiken voor al het externe HTTP-verkeer. Door SSL in te stellen, wordt toegang tot Tableau Server beveiligd en wordt gevoelige informatie beschermd die tussen de server en Tableau-clients wordt uitgewisseld, zoals Tableau Desktop, de REST API, analyse-extensies, enz. In dit onderwerp worden de stappen beschreven voor het configureren van de server voor SSL. U moet echter eerst een certificaat van een vertrouwde instantie verkrijgen en vervolgens de certificaatbestanden importeren in Tableau Server.
Wederkerige SSL-verificatie wordt niet ondersteund op Tableau Mobile.
Vereisten voor SSL-certificaatbestand
Verkrijg een Apache SSL-certificaat van een vertrouwde autoriteit (bijv. Verisign, Thawte, Comodo, GoDaddy). U kunt ook een intern certificaat gebruiken dat door uw bedrijf is uitgegeven. Ook jokertekencertificaten worden ondersteund. Hiermee kunt u SSL met meerdere hostnamen binnen hetzelfde domein gebruiken.
Wanneer u een SSL-certificaat aanschaft voor externe communicatie van en naar Tableau Server, volg dan deze richtlijnen en vereisten:
Alle certificaatbestanden moeten geldige, met PEM versleutelde X509-certificaten zijn met de extensie
.crt
.Gebruik een SHA-2 (256 of 512 bits) SSL-certificaat. De meeste browsers maken geen verbinding meer met een server die een SHA-1-certificaat aanbiedt.
Naast het certificaatbestand moet u ook een bijbehorend SSL-certificaatsleutelbestand aanschaffen. Het sleutelbestand moet een geldig RSA- of DSA-privésleutelbestand zijn (met standaard de extensie
.key
).U kunt het sleutelbestand met een wachtwoordzin beveiligen. De wachtwoordzin die u tijdens de configuratie invoert, wordt in uitgeschakeld stand versleuteld. Als u hetzelfde certificaat voor SSL en SAML wilt gebruiken, moet u echter een sleutelbestand gebruiken dat niet met een wachtwoordzin is beveiligd.
Belangrijk: als uw sleutelbestand met een wachtwoordzin is beveiligd, moet u controleren of het bijbehorende cryptografische algoritme wordt ondersteund door de versie van Tableau Server die u gebruikt. Tableau Server gebruikt OpenSSL om met een wachtwoord beveiligde sleutelbestanden te openen. Vanaf augustus 2023 worden de nieuwste releases van Tableau Server (2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 en nieuwer) uitgevoerd met OpenSSL 3.1. Eerdere versies van Tableau Server werden uitgevoerd met OpenSSL 1.1. Een aantal cryptografische algoritmen zijn buiten gebruik gesteld en worden niet langer ondersteund in OpenSSL 3.1. Raadpleeg het volgende Knowledgebase-artikel voordat u een upgrade uitvoert naar de nieuwste versie van Tableau Server: Gateway en Prep Conductor konden niet worden gestart bij gebruik van externe SSL met wachtwoordzin om het sleutelbestand te beschermen na de upgrade naar Tableau Server 2022.1.17(Link wordt in een nieuw venster geopend) als u een met een wachtwoordzin beveiligd sleutelbestand gebruikt op een oudere versie van Tableau Server die nog steeds OpenSSL 1.1 gebruikt.
SSL-certificaatketenbestand: voor Tableau Desktop op de Mac en voor Tableau Prep Builder op de Mac en Tableau Prep Builder in Windows is een certificaatketenbestand vereist. Het ketenbestand is ook vereist voor de Tableau Mobile-app als de certificaatketen voor Tableau Server niet wordt vertrouwd door het iOS- of Android-besturingssysteem op het mobiele apparaat.
Het ketenbestand is een aaneenschakeling van alle certificaten die de certificaatketen voor het servercertificaat vormen. Alle certificaten in het bestand moeten x509 PEM-gecodeerd zijn en het bestand moet een
.crt
extensie hebben (en niet.pem
).Voor meerdere subdomeinen ondersteunt Tableau Server jokertekencertificaten.
Controleer of het domein, de hostnaam of het IP-adres dat clients gebruiken om verbinding te maken met Tableau Server, is opgenomen in het veld Subject Alternative Names (SAN). Veel clients (Tableau Prep, Chrome- en Firefox-browsers, enz.) vereisen geldige invoer in het SAN-veld om een beveiligde verbinding tot stand te brengen.
Opmerking: zie SSL-certificaat en sleutelbestanden gebruiken voor SAML in de SAML-vereisten om te bepalen of dezelfde certificaatbestanden voor zowel SSL als SAML moeten worden gebruikt als u van plan bent om Tableau Server te configureren voor eenmalige aanmelding met SAML.
SSL configureren voor een cluster
U kunt een Tableau Server-cluster configureren voor het gebruik van SSL. Als het initiële knooppunt het enige is dat het gatewayproces uitvoert (wat standaard het geval is), moet u SSL alleen op dat knooppunt configureren met de stappen die in dit onderwerp worden beschreven.
SSL met meerdere gateways
Een zeer beschikbare Tableau Server-cluster kan meerdere gateways bevatten, met aan het hoofd een load balancer. Als u dit type cluster voor SSL configureert, hebt u de volgende keuzes:
De load balancer voor SSL configureren: het verkeer van de clientwebbrowsers naar de load balancer wordt versleuteld. Verkeer van de load balancer naar de gateway-processen van Tableau Server zijn niet gecodeerd. Er is geen SSL-configuratie in Tableau Server vereist. Dit wordt allemaal afgehandeld door de load balancer.
Tableau Server voor SSL configureren: het verkeer wordt gecodeerd van de webbrowsers van de client naar de load balancer, en van de load balancer naar de gateway-processenvan Tableau Server. Ga door naar het volgende deel voor meer informatie.
Aanvullende configuratie-informatie voor Tableau Server-clusteromgevingen
Wanneer u SSL wilt gebruiken op alle Tableau Server-knooppunten waarop een gatewayproces wordt uitgevoerd, voert u de volgende stappen uit.
Configureer de externe load balancer voor SSL-passthrough.
Als u een andere poort dan 443 wilt gebruiken, kunt u de externe load balancer zodanig configureren dat deze de niet-standaardpoort vanaf de client beëindigt. In dit scenario configureert u de load balancer vervolgens om verbinding te maken met Tableau Server via poort 443. Raadpleeg de documentatie bij de load balancer voor hulp.
Zorg dat het SSL-certificaat is uitgegeven voor de hostnaam van de load balancer.
Het initiële Tableau Server-knooppunt voor SSL configureren.
Als u wederkerige SSL gebruikt, uploadt u het SSL CA-certificaatbestand. Zie
tsm authentication mutual-ssl <commands>
.
SSL-certificaat- en sleutelbestanden worden als onderdeel van de configuratie naar elk knooppunt gedistribueerd.
De omgeving voorbereiden
Wanneer u de certificaatbestanden van de CA ontvangt, slaat u deze op een locatie op die toegankelijk is voor Tableau Server, en noteert u de namen van de certificaatbestanden .crt en .key en de locatie waar u deze opslaat. U moet deze informatie verstrekken aan Tableau Server wanneer u SSL inschakelt.
SSL in Tableau Server configureren
Gebruik de methode waar u zich het prettigst bij voelt.
Open TSM in een browser:
https://<tsm-computer-name>:8850. Zie Aanmelden bij webgebruikersinterface van Tableau Services Manager voor meer informatie.
Selecteer op het tabblad Configuratie Beveiliging > Externe SSL.
Opmerking: als u een bestaande configuratie bijwerkt of wijzigt, klikt u op Opnieuw instellen om de bestaande instellingen te wissen voordat u doorgaat.
Selecteer onder Externe webserver SSL SSL inschakelen voor servercommunicatie.
Upload de certificaat- en sleutelbestanden en, indien vereist voor uw omgeving, uploadt u het ketenbestand en voert u de wachtwoordzin in:
Als u Tableau Server uitvoert in een gedistribueerde implementatie, worden deze bestanden automatisch gedistribueerd naar elk relevant knooppunt in de cluster.
Klik op Lopende wijzigingen opslaan.
Klik op Lopende wijzigingen bovenaan de pagina:
Klik op Wijzigingen toepassen en opnieuw opstarten.
Nadat u de certificaatbestanden naar de lokale computer hebt gekopieerd, voert u de volgende opdrachten uit:
tsm security external-ssl enable --cert-file <path-to-file.crt> --key-file <path-to-file.key>
tsm pending-changes apply
Zie de opdrachtreferentie bij tsm security external-ssl enable om te bepalen of u extra opties wilt opnemen voor external-ssl enable
. Tableau heeft specifieke aanbevelingen voor de optie --protocols
.
De external-ssl enable command
importeert de informatie uit de bestanden .crt en .key. Als u deze opdracht uitvoert op een knooppunt in een Tableau Server-cluster, wordt de informatie ook gedistribueerd naar andere gatewayknooppunten.
Als voor de in behandeling zijnde wijzigingen de Server opnieuw moet worden opgestart, geeft de opdracht pending-changes apply
een prompt weer om u te laten weten dat de server opnieuw wordt gestart. Deze prompt verschijnt ook als de server is gestopt, maar in dat geval vindt er geen herstart plaats. U kunt de prompt onderdrukken met de optie --ignore-prompt
, maar dit verandert niets aan het herstartgedrag. Als opnieuw opstarten niet nodig is voor de wijzigingen, worden de wijzigingen zonder waarschuwing van een prompt toegepast. Zie tsm pending-changes apply voor meer informatie.
Poortomleiding en -logboekregistratie
Nadat de server is geconfigureerd voor SSL, accepteert deze verzoeken via de niet-SSL-poort (standaard is dit poort 80) en stuurt deze de verzoeken automatisch door naar SSL-poort 443.
Opmerking: Tableau Server ondersteunt alleen poort 443 als beveiligde poort. Dit kan niet worden uitgevoerd op een computer waarop een andere toepassing poort 443 gebruikt.
SSL-fouten worden op de volgende locatie vastgelegd. Gebruik dit logboek om problemen met validatie en encryptie op te lossen:
/var/opt/tableau/tableau_server/data/tabsvc/logs/httpd/error.log
SSL-poort toevoegen aan de lokale firewall
Als u een lokale firewall gebruikt, moet u de SSL-poort toevoegen aan de firewall van Tableau Server. In het onderstaande voorbeeld wordt beschreven hoe u de firewall configureert die op RHEL-/CentOS-distributies wordt uitgevoerd. Het voorbeeld maakt gebruik van Firewalld, de standaardfirewall op CentOS.
Firewalld starten:
sudo systemctl start firewalld
Voeg poort 443 toe voor SSL:
sudo firewall-cmd --permanent --add-port=443/tcp
Laad de firewall opnieuw en controleer de instellingen:
sudo firewall-cmd --reload
sudo firewall-cmd --list-all
SSL-certificaat wijzigen of bijwerken
Nadat u SSL hebt geconfigureerd, moet u het certificaat mogelijk periodiek bijwerken. In sommige gevallen moet u het certificaat mogelijk wijzigen vanwege operationele wijzigingen in uw IT-omgeving. In beide gevallen moet u TSM gebruiken om het SSL-certificaat te vervangen dat al is geconfigureerd voor externe SSL.
Kopieer geen nieuw certificaat naar de bestandsmap op het besturingssysteem. Wanneer u het certificaat toevoegt met de TSM-webinterface of de opdracht tsm security external-ssl enable
, wordt het certificaatbestand naar het juiste certificaatarchief gekopieerd. Bij een gedistribueerde implementatie wordt het certificaat ook gekopieerd naar alle knooppunten in het cluster.
Om het SSL-certificaat (en het bijbehorende sleutelbestand indien nodig) te wijzigen of bij te werken, volgt u de stappen in het vorige gedeelte van dit onderwerp: SSL in Tableau Server configureren.
Nadat u het certificaat hebt gewijzigd, moet u tsm pending-changes apply
uitvoeren om de Tableau Server-services opnieuw te starten. We adviseren ook om alle andere services opnieuw te starten op de computer die gebruikmaken van het SSL-certificaat. Als u een rootcertificaat op het besturingssysteem wijzigt, moet u de computer opnieuw opstarten.