Configurar o SSL para tráfego de HTTP externo e do Tableau Server

Configure o Tableau Server para usar comunicações criptografadas por SSL (Secure Sockets Layer) em todo o tráfego HTTP externo. A configuração do SSL garante que o acesso ao Tableau Server seja seguro e que as informações confidenciais transmitidas entre o servidor e os clientes do Tableau (como Tableau Desktop, API REST, extensão do Analytics e assim por diante) sejam protegidas. As etapas sobre como configurar o servidor para SSL são descritas neste tópico; no entanto, primeiro, adquira um certificado de uma autoridade confiável e depois importe os arquivos de certificado no Tableau Server.

A autenticação por SSL mútuo não é compatível com o Tableau Mobile.

Requisitos do certificado SSL

Adquira um certificado Apache SSL de uma autoridade confiável (por exemplo, Verisign, Thawte, Comodo, GoDaddy). Você também pode usar um certificado interno emitido por sua empresa. Certificados curinga, que permitem que você use SSL com muitos nomes de host dentro do mesmo domínio, também têm suporte.

Siga as diretrizes e os requisitos ao obter um certificado SSL para comunicação externa de e para o Tableau Server:

  • Todos os arquivos de certificado deve ser certificados X509 codificados por PEM válidos com a extensão .crt.

  • Use um certificado SSL SHA-2 (256 ou 512 bits). A maioria dos navegadores não se conectam a um servidor que apresenta um certificado SHA-1.

  • Além do arquivo de certificado, você também deve adquirir o arquivo de chave de certificado SSL correspondente. O arquivo chave deve ser um arquivo chave privado RSA ou DSA (com a extensão .key por convenção).

    Você pode usar a proteção por frase secreta no arquivo de chave. A frase secreta inserida durante a configuração será criptografada em períodos de inatividade. No entanto, se você desejar usar o mesmo certificado para SSL e SAML, use um arquivo de chave que não seja protegido por frase secreta.

    Importante: Se o seu arquivo de chave estiver protegido por senha, você deverá verificar se o algoritmo criptográfico relacionado é compatível com a versão do Tableau Server em execução. O Tableau Server usa OpenSSL para abrir arquivos de chave protegidos por senha. A partir de agosto de 2023, as versões mais recentes do Tableau Server (2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 e mais recentes) executam o OpenSSL 3.1. As versões anteriores do Tableau Server executavam o OpenSSL 1.1. Vários algoritmos criptográficos foram retirados e não são mais suportados no OpenSSL 3.1. Se você estiver usando um arquivo de chave protegido por senha em uma versão mais antiga do Tableau Server que ainda executa o OpenSSL 1.1, revise o seguinte artigo da base de conhecimento antes de atualizar para a versão mais recente do Tableau Server: Falha ao iniciar o Gateway e o Prep Conductor ao usar SSL externo com senha para proteger o arquivo de chave após a atualização para o Tableau Server 2022.1.17(O link abre em nova janela).

  • Arquivo da cadeia de certificados SSL: um arquivo da cadeia de certificados é necessário para o Tableau Desktop no Mac e para o Tableau Prep Builder no Windows. O arquivo em cadeia também é necessário para o aplicativo Tableau Mobile se a cadeia de certificados do Tableau Server não for confiável pelo sistema operacional iOS ou Android no dispositivo móvel.

    O arquivo de cadeia é uma concatenação de todos os certificados que formam a cadeia de certificados para o certificado do servidor. Todos os certificados no arquivo devem ser x509 codificados por PEM, e o arquivo deve ter a extensão .crt (não .pem).

  • O Tableau Server oferece suporte a certificados curinga para diversos subdomínios.

  • Verifique se o domínio, nome do host ou endereço IP que os clientes usam para se conectar ao Tableau Server está incluído no campo Nomes alternativos do assunto (SAN). Muitos clientes (navegadores do Tableau Prep, Chrome e Firefox etc.) exigem uma entrada válida no campo SAN para estabelecer uma conexão segura.

Observação: se você planeja configurar o Tableau Server para logon único usando SAML, consulte Uso do certificado SSL e arquivos-chave para SAML nos requisitos do SAML para ajudar a determinar se os mesmos arquivos de certificado devem ser usados para o SSL e o SAML.

Configurar SSL para um cluster

É possível configurar um cluster do Tableau Server para usar SSL. Se o nó inicial estiver executando o processo de gateway (o que ele faz por padrão), é necessário configurar o SSL apenas nesse nó, usando as etapas descritas neste tópico.

SSL com vários gateways

Um cluster do Tableau Server de alta disponibilidade pode incluir diversos gateways, antecedidos por um balanceador de carga. Se estiver configurando este tipo de cluster para SSL, há as seguintes opções:

  • Configurar o balanceador de carga para SSL: o tráfego é codificado dos navegadores da Web do cliente até o balanceador de carga. O tráfego do balanceador de carga para os processos de gateway do Tableau Server não é criptografado. Nenhuma configuração SSL é necessária no Tableau Server. Tudo é controlado pelo balanceador de carga.

  • Configurar o Tableau Server para SSL: o tráfego é codificado dos navegadores da Web do cliente até o balanceador de carga e do balanceador de carga aos processos de gateway do Tableau Server. Para obter mais informações, avance para a próxima seção.

Informações de configuração adicionais dos ambientes de cluster do Tableau Server

Quando quiser usar o SSL em todos os nós do Tableau Server que executam um processo de gateway, conclua as etapas a seguir.

  1. Configure o balanceador de carga para passagem SSL.

    Ou então, se desejar usar uma porta diferente da 443, poderá configurar o balanceador de carga externo para encerrar a porta não padrão do cliente. Neste cenário, o próximo passo é configurar o balanceador de carga para se conectar ao Tableau Server pela porta 443. Para obter assistência, consulte a documentação fornecida sobre o balanceador de carga.

  2. Confira se o certificado do SSL foi emitido com o nome de host do balanceador de carga.

  3. Configure o nó do Tableau Server para o SSL.

  4. Se você estiver usando SSL mútuo, faça upload do arquivo de certificado SSL CA. Consulte tsm authentication mutual-ssl <commands>.

O certificado SSL e os arquivos de chave serão distribuídos para cada nó como parte do processo de configuração.

Preparação do ambiente

Ao obter arquivos de certificado da CA, salve-os em um local acessível pelo Tableau Server e observe os nomes dos arquivos .crt e .key do certificado, bem como o local em que foram salvos. Será necessário fornecer essas informações para o Tableau Server ao habilitar o SSL.

Configurar o SSL no Tableau Server

Use o método mais confortável para você.

  1. Abra o TSM em um navegador:

    https://<tsm-computer-name>:8850. Para obter mais informações, consulte Fazer logon na interface do usuário na Web do Tableau Services Manager.

  2. Na guia Configuração, selecione Segurança > SSL externo.

    Observação: se você estiver atualizando ou alterando uma configuração existente, clique em Redefinir para limpar as configurações existentes antes de prosseguir.

  3. Em SSL do servidor Web externo, selecione Habilitar SSL para comunicação do servidor.

  4. Faça upload do certificado e arquivos-chave e, caso necessário para seu ambiente, faça upload do arquivo de cadeia e insira a fase secreta de chave:

    Configurar captura de tela de SSL

    Se você estiver executando o Tableau Server em uma implantação distribuída, esses arquivos serão automaticamente distribuídos para cada nó apropriado no cluster.

  5. Clique em Salvar alterações pendentes.

  6. Clique em Alterações pendentes na parte superior da página:

  7. Clique em Aplicar alterações e reiniciar.

Depois de copiar os arquivos de certificado no computador local, execute os comandos a seguir:

tsm security external-ssl enable --cert-file <path-to-file.crt> --key-file <path-to-file.key>

tsm pending-changes apply

Consulte a referência de comando em tsm security external-ssl enable para determinar se deseja incluir opções adicionais a external-ssl enable. O Tableau tem recomendações específicas para a opção --protocols.

O comando external-ssl enable command importa as informações dos arquivos .crt e .key. Quando este comando é executado em um nó de um cluster do Tableau Server, ele também distribui as informações para qualquer outro nó de gateway.

Se as alterações pendentes exigirem uma reinicialização do servidor, o comando pending-changes apply exibirá um prompt para que você saiba que ocorrerá uma reinicialização. Esse prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.

Redirecionamento e registros de porta

Após configurar o servidor para SSL, ele aceita solicitações para a porta não SSL (o padrão é a porta 80) e automaticamente redireciona para a porta SSL 443.

Observação: o Tableau Server oferece suporte apenas à porta 443 como a porta segura. Ele não pode ser executado em um computador em que qualquer outro aplicativo esteja usando a porta 443.

Os erros de SSL são registrados no seguinte local. Use esse registro para solucionar problemas de validação e criptografia:

/var/opt/tableau/tableau_server/data/tabsvc/logs/httpd/error.log

Adicionar porta SSL ao firewall local

Se você estiver executando um firewall local, deve adicionar a porta SSL para o firewall no Tableau Server. O exemplo abaixo descreve como configurar o firewall em execução nas distribuições RHEL/CentOS. O exemplo usa Firewalld, que é o firewall padrão no CentOS.

  1. Inicie o firewalld:

    sudo systemctl start firewalld

  2. Adicionar porta 443 para SSL:

    sudo firewall-cmd --permanent --add-port=443/tcp

  3. Recarregue o firewall e verifique as configurações:

    sudo firewall-cmd --reload

    sudo firewall-cmd --list-all

Alterar ou atualizar o certificado SSL

Depois de configurar o SSL, talvez seja necessário atualizar o certificado periodicamente. Em alguns casos, talvez você precise alterar o certificado para mudanças operacionais no ambiente de TI. Em ambos os casos, você deve usar o TSM para substituir o certificado SSL que já foi configurado para SSL externo.

Não copie um novo certificado no diretório de arquivos do sistema operacional. Em vez disso, ao adicionar o certificado com a interface do usuário na Web TSM ou o comando tsm security external-ssl enable, o arquivo do certificado é copiado para o armazenamento de certificados apropriado. Em uma implantação distribuída, o certificado também é copiado entre os nós no cluster.

Para alterar ou atualizar o certificado SSL (e o arquivo-chave correspondente, se necessário), siga as etapas na seção anterior deste tópico, Configurar o SSL no Tableau Server.

Depois de alterar o certificado, você deve executar o tsm pending-changes apply para reiniciar os serviços do Tableau Server. Também recomendamos reiniciar quaisquer outros serviços no computador que usem o certificado SSL. Se estiver alterando um certificado raiz no sistema operacional, deverá reiniciar o computador.

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!