Konfigurera SSL för extern HTTP-trafik till och från Tableau Server

Du kan konfigurera Tableau Server till att använda Secure Sockets Layer (SSL) krypterad kommunikation på all extern HTTP-trafik. Inställning av SSL säkerställer att åtkomsten till Tableau Server är säker och att känslig information som skickas mellan servern och Tableau-klienter - såsom Tableau Desktop, REST API, statistiska tillägg och så vidare - skyddas. Steg om hur man konfigurerar servern för SSL beskrivs i det här ämnet, men du måste först skaffa ett certifikat från en betrodd myndighet, och sedan importera certifikatfilerna till Tableau Server.

Ömsesidig SSL-autentisering stöds inte på Tableau Mobile.

Krav på SSL-certifikat

Skaffa ett Apache SSL-certifikat från en betrodd myndighet (till exempel Verisign, Thawte, Comodo, GoDaddy). Du kan också använda ett internt certifikat som utfärdats av ditt företag. Jokertecken, som låter dig använda SSL med många värdnamn inom samma domän, stöds också.

När du skaffar ett SSL-certifikat för extern kommunikation till och från Tableau Server ska du följa dessa riktlinjer och krav:

  • Alla certifikatfiler måste vara giltiga PEM-kodade X509-certifikat med tillägget .crt.

  • Använd ett SSL-certifikat för SHA-2 (256 eller 512 bitar). De flesta webbläsare ansluter inte längre till en server som presenterar ett SHA-1-certifikat.

  • Förutom certifikatfilen måste du också skaffa en motsvarande SSL-certifikatnyckelfil. Ange en giltig RSA- eller DSA-fil med privat nyckel (med filtillägget .key).

    Du kan välja att skydda nyckelfilen med en lösenfras. Den lösenfras du anger krypteras i viloläge. Men om du vill använda samma certifikat för SSL och SAML, måste du använda en nyckelfil som inte är lösenfrasskyddad.

    Viktigt! Om din nyckelfil är lösenfrasskyddad måste du kontrollera att den relaterade kryptografiska algoritmen stöds av den version av Tableau Server du kör. Tableau Server använder OpenSSL för att öppna lösenordsskyddade nyckelfiler. Från och med augusti 2023 kör de senaste versionerna av Tableau Server (2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 och senare) OpenSSL 3.1. Tidigare versioner av Tableau Server körde OpenSSL 1.1. Ett antal kryptografiska algoritmer har fasats ut och stöds inte längre i OpenSSL 3.1. Om du använder en lösenfrasskyddad nyckelfil på en äldre version av Tableau Server som fortfarande kör OpenSSL 1.1 läser du följande kunskapsbasartikel innan du uppgraderar till den senaste versionen av Tableau Server: Gateway and Prep Conductor failed to start when using External SSL with passphrase to protect the key file after upgrade to Tableau Server 2022.1.17(Länken öppnas i ett nytt fönster) (på engelska).

  • SSL-certifikatkedjefil: En certifikatkedjefil krävs för Tableau Desktop på Mac och för Tableau Prep Builder på Mac och Tableau Prep Builder på Windows. Kedjefilen krävs också för Tableau Mobile-appen om certifikatkedjan för Tableau Server inte är betrodd av iOS- eller Android-operativsystemet på den mobila enheten.

    Det andra certifikatet är en kedjefil som är en sammanlänkning av alla certifikat som utgör certifikatkedjan för servercertifikatet. Alla certifikat i filen måste vara x509 PEM-kodade och filen måste ha filtillägget .crt (inte .pem).

  • För flera underdomäner, stöder Tableau Server stöder jokerteckencertifikat.

  • Kontrollera att domänen, värdnamnet eller IP-adressen som klienter använder för att ansluta till Tableau Server ingår i fältet Ämnesalternativa namn (SAN). Många klienter (webbläsarna Tableau Prep, Chrome och Firefox, etc.) kräver giltig post i SAN-FÄLTET för att upprätta en säker anslutning.

Obs! Om du planerar att konfigurera Tableau Server för enkel inloggning med SAML, se Använda SSL-certifikat och nyckelfiler för SAML i SAML-kraven för att avgöra om samma certifikatfiler ska användas för både SSL och SAML.

Konfigurera SSL för ett kluster

Du kan konfigurera ett Tableau Server-kluster för att använda SSL. Om den initiala noden är den enda som kör gateway-processen (vilket den gör som standard), måste du konfigurera SSL endast på den noden med hjälp av de steg som beskrivs i detta ämne.

SSL med flera gateways

Ett mycket tillgängligt Tableau Server-kluster kan inkludera flera gateways, som är frontade av en belastningsutjämnare. Om du konfigurerar denna typ av kluster för SSL har du följande alternativ:

  • Konfigurera belastningsbalansen för SSL: Trafiken krypteras från klientens webbläsare till belastningsutjämnaren. Trafiken från belastningsutjämnaren Tableau Server till gatewayprocesserna är inte krypterad. Det krävs ingen SSL-konfiguration i Tableau Server av dig. Allt hanteras av belastningsutjämnaren.

  • Konfigurera Tableau Server för SSL: Trafiken krypteras från klientens webbläsare till belastningsutjämnaren och från belastningsutjämnaren Tableau Server till gatewayprocesserna. För mer information, fortsätt till följande avsnitt.

Ytterligare konfigurationsinformation för Tableau Server klustermiljöer

När du vill använda SSL på alla Tableau Server-noder som kör en gatewayprocess, ska du slutföra följande steg.

  1. Konfigurera den externa belastningsutjämnaren för SSL-genomströmning.

    Eller om du vill använda en annan port än 443 kan du konfigurera den externa belastningsutjämnaren för att avsluta den icke-standardiserade porten från klienten. I detta scenario skulle du sedan konfigurera belastningsutjämnaren för att ansluta till Tableau Server över port 443. För hjälp, se den dokumentation som tillhandahålls för belastningsutjämnaren.

  2. Se till att SSL-certifikatet utfärdas för belastningsutjämnarens värdnamn.

  3. Konfigurera den ursprungliga Tableau Server-noden för SSL.

  4. Om du använder ömsesidig SSL, ladda upp SSL CA-certifikatfilen. Läs mer i avsnittet om tsm authentication mutual-ssl <kommandon>.

SSL-certifikat och nyckelfiler kommer att distribueras till varje nod som en del av konfigurationsprocessen.

Förbered miljön

När du får certifikatfilerna från certifikatutfärdaren ska du spara dem på en plats som är tillgänglig för Tableau Server och du ska anteckna namnen på certifikatet .crt- och .key-filerna och platsen där du sparar dem. Du måste tillhandahålla denna information till Tableau Server när du aktiverar SSL.

Konfigurera SSL på Tableau Server

Använd den metod du är mest bekväm med.

  1. Öppna TSM i en webbläsare:

    https://<tsm-computer-name>:8850. Du hittar mer information i Logga in på webbgränssnittet för Tableau Services Manager.

  2. På fliken Konfiguration väljer du Säkerhet > Extern SSL.

    Obs! Om du uppdaterar eller ändrar en befintlig konfiguration klickar du på Återställ för att rensa de befintliga inställningarna innan du fortsätter.

  3. Under Extern webbserver SSLväljer du Aktivera SSL för serverkommunikation.

  4. Ladda upp certifikatet och nyckelfilerna och ladda upp kedjefilen och ange lösenfrasnyckeln, om det behövs för din miljö:

    Konfigurera SSL-skärmdump

    Om du kör Tableau Server i en distribuerad driftsättning, kommer dessa filer automatiskt att distribueras till varje lämplig nod i klustret.

  5. Klicka på Spara väntande ändringar.

  6. Klicka på Väntande ändringar längst upp på sidan:

  7. Klicka på Tillämpa ändringarna och starta om.

När du har kopierat certifikatfilerna till den lokala datorn kör du följande kommandon:

tsm security external-ssl enable --cert-file <path-to-file.crt> --key-file <path-to-file.key>

tsm pending-changes apply

Se kommandoreferensen på tsm tsm security external-ssl enable för att avgöra om du vill inkludera ytterligare alternativ för external-ssl enable. Tableau har särskilda rekommendationer för alternativet --protocols.

external-ssl enable command importerar informationen från .crt- och .key-filerna. Om du kör det här kommandot på en nod i ett Tableau Server-kluster distribuerar det också informationen till alla andra gateway-noder.

Om de väntande ändringarna kräver att servern startas om visar kommandot pending-changes apply en kommandotolk så att du vet att en omstart kommer att ske. Kommandotolken visas även om servern stoppas, men i så fall sker ingen omstart. Du kan utelämna tolken med alternativet --ignore-prompt, men det påverkar inte omstartsbeteendet. Om ändringarna inte kräver omstart används de utan någon kommandotolk. Du hittar mer information i tsm pending-changes apply.

Portomdirigering och loggning

När servern har konfigurerats för SSL accepterar den förfrågningar till icke-SSL-porten (standard är port 80) och omdirigeras automatiskt till SSL-port 443.

Obs! Tableau Server stöder endast port 443 som den säkra porten. Den kan inte köras på en dator där ett annat program använder port 443.

SSL-fel loggas in på följande plats. Använd den här loggen för att felsöka validerings- och krypteringsproblem:

/var/opt/tableau/tableau_server/data/tabsvc/logs/httpd/error.log

Lägg till SSL-port till den lokala brandväggen

Om du kör en lokal brandvägg måste du lägga till SSL-porten till brandväggen på Tableau Server. Exemplet nedan beskriver hur man konfigurerar brandväggen som körs på RHEL/CentOS-distributioner. Exemplet använder Firewalld som är standardbrandväggen på CentOS.

  1. Starta firewalld:

    sudo systemctl start firewalld

  2. Lägg till port 443 för SSL:

    sudo firewall-cmd --permanent --add-port=443/tcp

  3. Ladda brandväggen igen och kontrollera inställningarna:

    sudo firewall-cmd --reload

    sudo firewall-cmd --list-all

Ändra eller uppdatera SSL-certifikat

När du har konfigurerat SSL kan du behöva uppdatera certifikatet regelbundet. I vissa fall kan du behöva ändra certifikatet för operativa förändringar i din IT-miljö. I båda fallen måste du använda TSM för att ersätta det SSL-certifikat som redan har konfigurerats för extern SSL.

Kopiera inte ett nytt certifikat till filkatalogen på operativsystemet. När du lägger till certifikatet antingen med TSM webbgränssnitt eller kommandot tsm security external-ssl enable, kopieras certifikatfilen snarare till rätt certifikatlager. I en distribuerad driftsättning kopieras certifikatet även över noderna i klustret.

För att ändra eller uppdatera SSL-certifikatet (och motsvarande nyckelfil om det behövs) ska stegen i föregående avsnitt om detta ämne följas, Konfigurera SSL på Tableau Server.

När du har ändrat certifikatet måste du köra tsm pending-changes apply för att starta om Tableau Server-tjänster. Vi rekommenderar också att du startar om alla andra tjänster på datorn som använder SSL-certifikatet. Om du ändrar ett rotcertifikat i operativsystemet måste du starta om datorn.

Tack för din feedback!Din feedback har skickats in. Tack!