Exemplo: Certificado SSL - Gerar uma chave e CSR


Importante: este exemplo tem por objetivo oferecer direções gerais a profissionais de TI experientes com requisitos e configuração de SSL. O procedimento descrito neste artigo é um dos vários métodos disponíveis que podem ser usados para gerar os arquivos exigidos. O processo descrito aqui deve ser tratado como um exemplo e não como uma recomendação.

Ao configurar o Tableau Server para que ele use a criptografia Secure Sockets Layer (SSL), isso o ajuda a garantir que o acesso ao servidor seja seguro, e que os dados enviados entre o Tableau Server e o Tableau Desktop estejam protegidos.

Procurando o Tableau Server no Windows? Consulte Exemplo: Certificado SSL - Gerar uma chave e CSR(O link abre em nova janela).

O Tableau Server usa o Apache, que inclui OpenSSL(O link abre em nova janela). Use o kit de ferramentas OpenSSL para gerar um arquivo chave e o Certificate Signing Request (Solicitação de assinatura de certificado, CSR) que podem ser usados para obter um certificado SSL assinado.

As versões 2022.1.17, 2022.3.9, 2023.1.5 e 2025.1.x do Tableau Server executam o OpenSSL 3.1.

Importante: a partir da versão 2025.3, o Tableau usará o OpenSSL 3.4.0 e a segurança de nível 2. A segurança de nível 2 requer chaves de 2048 bits ou mais. Todas as chaves de segurança de nível 1 existentes não funcionarão mais e você precisará gerar e implantar um novo par de chaves. Se você estiver gerando chaves com pelo menos 2048 bits, conforme recomendado, nenhuma ação será necessária. Para obter mais informações, consulte Gerar uma chave.

Etapas para gerar uma chave e CSR

Para configurar o Tableau Server para que use SSL, é necessário ter um certificado SSL. Para obter o certificado SSL, conclua estas etapas:

  1. Gerar um arquivo chave.
  2. Criar uma Solicitação de Assinatura de Certificado (CSR).
  3. Enviar o CSR a uma autoridade de certificação (CA) para obter o certificado SSL.
  4. Usar a chave e o certificado para configurar o Tableau Server para usar SSL.

É possível encontrar informações adicionais na página de Perguntas Frequentes do SSL(O link abre em nova janela) no site da Apache Software Foundation.

Configurar um certificado para vários nomes de domínio

O Tableau Server habilita o SSL para vários domínios. Para configurar esse ambiente, é necessário modificar o arquivo de configuração OpenSSL, openssl.conf, e configurar um certificado Subject Alternative Name (SAN) no Tableau Server. Consulte Para certificados SAN: modifique o arquivo de configuração OpenSSL a seguir.

Gerar uma chave

Gere um arquivo de chave que será usado para gerar um pedido de assinatura de certificado.

  1. Execute o comando a seguir para criar o arquivo chave:

    openssl genrsa -out <yourcertname>.key 4096

    Observações:
    • este comando usa um comprimento de 4096 bits para a chave. Escolha um comprimento de bit com, no mínimo, 2048 bits, pois a comunicação criptografada com um comprimento de bit menor é menos segura. Se um valor não for proporcionado, 512 bits é usado.
    • Para criar chaves RSA PKCS#1 com as versões 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 e posteriores do Tableau Server, você deve usar a opção adicional -traditional ao executar o comando openssl genrsa baseado no OpenSSL 3.1. Para obter mais informações sobre as opções, consulte https://www.openssl.org/docs/man3.1/man1/openssl-rsa.html(O link abre em nova janela).

Criar uma solicitação de assinatura de certificado a ser enviada a uma autoridade de certificação

Use o arquivo de chave criado com o procedimento acima para gerar a Certificate Signing Request (Solicitação de Assinatura de Certificado, CSR). Envie o CSR para uma autoridade de certificação (CA) para obter o certificado assinado.

Importante: se deseja configurar um certificado SAN para usar o SSL em vários domínios, primeiro conclua as etapas na seção Para certificados SAN: modifique o arquivo de configuração do OpenSSL e, em seguida, retorne a essa etapa para gerar um CSR.

  1. Execute o comando a seguir para criar um arquivo de certificate signing request (solicitação de assinatura de certificado, CSR):

    openssl req -new -key yourcertname.key -out yourcertname.csr  -config /opt/tableau/tableau_server/packages/apache.<version>/conf/openssl.cnf

  2. Quando solicitado, insira as informações obrigatórias.

    Observação: para Nome comum,digite o nome do Tableau Server. O nome do Tableau Server é a URL que será usada para acessar o Tableau Server. Por exemplo, se o Tableau Server for acessado ao digitar tableau.example.com na barra de endereços do navegador, então o tableau.example.com é o nome comum. Se o nome comum não coincidir com o nome do servidor, haverá erros quando um navegador ou o Tableau Desktop tentar conectar-se ao Tableau Server.

Enviar o CSR a uma autoridade de certificação para obter o certificado SSL

Envie o CSR a um certificate authority (autoridade de certificação, CA) comercial para solicitar o certificado digital. Para informações, consulte o artigo da Wikipedia Autoridade de certificação(O link abre em nova janela) e outros artigos relacionados que possam ajudá-lo a decidir qual CA usar.

Usar a chave e o certificado para configurar o Tableau Server

Quando você tem a chave e o certificado da CA, pode configurar o Tableau Server para usar o SSL. Para ver as etapas, consulte Configurar SSL externo.

Para certificados SAN: modifique o arquivo de configuração do OpenSSL

Na instalação padrão do OpenSSL, alguns recursos não são habilitados por padrão. Para usar o SSL com vários nomes de domínio, antes de gerar o CSR, complete estas etapas para modificar o arquivo openssl.cnf.

  1. Navegue até a pasta conf do Apache para o Tableau Server.

    Por exemplo: /opt/tableau/tableau_server/packages/apache.<version_code>/conf

  2. Abra openssl.cnf em um editor de texto e encontre a seguinte linha: req_extensions = v3_req

    Esta linha pode ter recebido comentários com o sinal (#) no início.

    O código demonstra como definir extensões a serem adicionadas a uma solicitação de certificado.

    Se a linha tiver comentários, retire-os apagando os caracteres # e espaço do começo da linha.

  3. Vá até a seção [ v3_req ] do arquivo. As primeiras linhas apresentam o seguinte texto:

    # Extensions to add to a certificate request.
    basicConstraints = CA:FALSE
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment

    Após a linha keyUsage, insira a seguinte linha:

    subjectAltName = @alt_names.

    Se você estiver criando um certificado SAN autoassinado, faça o seguinte para conceder a permissão de assinatura no certificado:

    1. Añada <code>cRLSign</code> y <code>keyCertSign</code> a la línea <strong>keyUsage</strong> del siguiente modo: keyUsage = nonRepudiation, digitalSignature, keyEncipherment, cRLSign, keyCertSign

    2. Após a linha keyUsage, insira a seguinte linha:subjectAltName = @alt_names

  4. Na seção [alt_names], forneça os nomes de domínio que deseja usar com o SSL.

    DNS.1 = [domain1].
    DNS.2 = [domain2]
    DNS.3 = [etc]

    A imagem a seguir mostra os resultados em destaque, com o texto de marcação que seria substituído pelos seus nomes de domínio.

  5. Salve e feche o arquivo.

  6. Conclua as etapas na seção acima Criar uma solicitação de assinatura de certificado a ser enviada a uma autoridade de certificação.

Voltar para o topo