กำหนดค่า SSL สำหรับทราฟฟิก HTTP ภายนอกไปยังและจาก Tableau Server

คุณสามารถกำหนดค่า Tableau Server ให้ใช้การสื่อสารที่เข้ารหัส Secure Sockets Layer (SSL) บนทราฟฟิก HTTP ภายนอกทั้งหมด การตั้งค่า SSL ทำให้แน่ใจได้ว่า การเข้าถึง Tableau Server มีความปลอดภัย และระบบจะให้ความคุ้มครองข้อมูลที่ละเอียดอ่อนที่ผ่านระหว่างเซิร์ฟเวอร์กับไคลเอ็นต์ Tableau เช่น Tableau Desktop, REST API, ส่วนขยายการวิเคราะห์ และอื่นๆ ขั้นตอนเกี่ยวกับวิธีการกำหนดค่าเซิร์ฟเวอร์สำหรับ SSL มีอธิบายไว้ในหัวข้อนี้ อย่างไรก็ตาม คุณจำเป็นต้องได้รับใบรับรองจากหน่วยงานที่น่าเชื่อถือก่อน จากนั้น จึงนำเข้าไฟล์ใบรับรองดังกล่าวไปยัง Tableau Server

ระบบไม่รองรับการตรวจสอบสิทธิ์ SSL ร่วมกันบน Tableau Mobile

ข้อกำหนดของใบรับรอง SSL 

ได้รับใบรับรอง Apache SSL จากหน่วยงานที่น่าเชื่อถือ (เช่น Verisign, Thawte, Comodo, GoDaddy) นอกจากนี้ คุณยังสามารถใช้ใบรับรองระดับนานาชาติที่ออกโดยบริษัทของคุณได้อีกด้วย ระบบยังรับรองใบรับรองสัญลักษณ์แทนค่า ซึ่งทำให้คุณสามารถใช้ SSL ด้วยชื่อโฮสต์จำนวนมากภายในโดเมนเดียวกันอีกด้วย

เมื่อคุณได้รับใบรับรอง SSL สำหรับการสื่อสารภายนอกไปยังและจาก Tableau Server ให้ปฏิบัติตามแนวทางและข้อกำหนดดังต่อไปนี้

  • ไฟล์ใบรับรองต้องเป็นใบรับรอง X509 ที่เข้ารหัส PEM โดยมีนามสกุลไฟล์ .crt

  • ใช้ใบรับรอง SHA-2 (256 หรือ 512 บิต) SSL เบราว์เซอร์ส่วนใหญ่ที่ไม่ได้เชื่อมต่อกับเซิร์ฟเวอร์ที่นำเสนอใบรับรอง SHA-1 อีกต่อไป

  • นอกจากไฟล์ใบรับรองแล้ว คุณยังต้องได้รับไฟล์สำคัญใบรับรอง SSL ที่สอดคล้องกันอีกด้วย ไฟล์สำคัญต้องเป็นไฟล์สำคัญส่วนตัว RSA หรือ DSA ที่ถูกต้อง (โดยใช้นามสกุล.key ตามหลักการ)

    คุณสามารถเลือกวลีรหัสผ่าน เพื่อปกป้องไฟล์สำคัญ วลีรหัสผ่านที่คุณป้อนในระหว่างการกำหนดค่าจะถูกเข้ารหัสในขณะที่ไม่ได้ใช้งาน อย่างไรก็ตาม หากคุณต้องการใช้ใบรับรองเดียวกันสำหรับ SSL และ SAML คุณต้องใช้ไฟล์สำคัญที่ไม่ได้รับความคุ้มครองจากวลีรหัสผ่าน

    สำคัญ: หากไฟล์คีย์ของคุณได้รับการปกป้องด้วยรหัสผ่าน คุณต้องตรวจสอบว่า Tableau Server เวอร์ชันที่คุณใช้งานอยู่รองรับอัลกอริทึมการเข้ารหัสที่เกี่ยวข้อง Tableau Server ใช้ OpenSSL เพื่อเปิดไฟล์คีย์ที่ป้องกันด้วยรหัสผ่าน ตั้งแต่เดือนสิงหาคม 2023 เป็นต้นไป Tableau Server รุ่นล่าสุด (2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 และใหม่กว่า) เรียกใช้ OpenSSL 3.1 Tableau Server เวอร์ชันก่อนหน้าเรียกใช้ OpenSSL 1.1 อัลกอริทึมการเข้ารหัสจำนวนหนึ่งถูกเลิกใช้และไม่รองรับใน OpenSSL 3.1 อีกต่อไป หากคุณใช้ไฟล์คีย์ที่ป้องกันด้วยรหัสผ่านบน Tableau Server เวอร์ชันเก่าที่ยังคงเรียกใช้ OpenSSL 1.1 ให้ตรวจสอบบทความฐานความรู้ต่อไปนี้ก่อนที่คุณจะอัปเกรดเป็น Tableau Server เวอร์ชันล่าสุด: เกตเวย์และ Prep Conductor ไม่เริ่มทำงานเมื่อใช้ SSL ภายนอกพร้อมข้อความรหัสผ่านเพื่อปกป้องไฟล์คีย์หลังจากอัปเกรดเป็น Tableau Server 2022.1.17(ลิงก์จะเปิดในหน้าต่างใหม่)

  • ไฟล์สายโซ่ใบรับรอง SSL: ไฟล์สายโซ่ใบรับรองจำเป็นสำหรับ Tableau Desktop บน Mac และสำหรับ Tableau Prep Builder บน Mac และ Tableau Prep Builder บน Windows นอกจากนี้ ไฟล์สายโซ่ยังจำเป็นสำหรับแอป Tableau Mobile อีกด้วย หากสายโซ่ใบรับรองสำหรับ Tableau Server ไม่ได้รับความไว้วางใจจากระบบปฏิบัติการ iOS หรือ Android บนอุปกรณ์มือถือ

    ไฟล์สายโซ่เป็นการเชื่อมโยงใบรับรองทั้งหมดที่ทำให้เกิดเป็นสายโซ่ใบรับรองสำหรับใบรับรองเซิร์ฟเวอร์ ใบรับรองทั้งหมดในไฟล์ต้องเป็นแบบ x509 ที่เข้ารหัส PEM และไฟล์ต้องมีนามสกุลa .crt (ไม่ใช่ .pem)

  • สำหรับโดเมนย่อยหลายรายการ Tableau Server จะรองรับใบรับรองสัญลักษณ์แทนค่า

  • ตรวจสอบว่าโดเมน ชื่อโฮสต์ หรือที่อยู่ IP ที่ไคลเอ็นต์ใช้เพื่อเชื่อมต่อกับ Tableau Server รวมอยู่ในฟิลด์ Subject Alternative Names (SAN) ไคลเอ็นต์จำนวนมาก (เบราว์เซอร์ Tableau Prep, Chrome และ Firefox ฯลฯ) จำเป็นต้องมีรายการป้อนที่ถูกต้องในฟิลด์ SAN สำหรับสร้างการเชื่อมต่อที่ปลอดภัย

หมายเหตุ: หากคุณวางแผนที่จะกำหนดค่า Tableau Server สำหรับการลงชื่อเพียงครั้งเดียวโดยใช้ SAML โปรดดู การใช้ใบรับรอง SSL และไฟล์สำคัญสำหรับ SAML ในข้อกำหนด SAML เพื่อช่วยในการพิจารณาว่าจะใช้ใบรับรองเดียวกันสำหรับทั้ง SSL และ SAML หรือไม่

การกำหนดค่า SSL สำหรับคลัสเตอร์

คุณสามารถกำหนดค่าคลัสเตอร์ Tableau Server เพื่อใช้ SSL ได้ หากโหนดตั้งต้นเป็นเพียงรายการเดียวที่เรียกใช้กระบวนการเกตเวย์ (ซึ่งเป็นค่าเริ่มต้น) คุณจะต้องกำหนดค่า SSL เฉพาะบนโหนดดังกล่าวเท่านั้น โดยใช้ขั้นตอนที่อธิบายไว้ในหัวข้อนี้

SSL ที่มีหลายเกตเวย์

คลัสเตอร์ Tableau Server ที่พร้อมใช้งานอย่างมากอาจประกอบด้วยเกตเวย์หลายรายการ ซึ่งมีด้านหน้าเป็นตัวจัดสรรภาระงาน หากคุณกำลังกำหนดค่าคลัสเตอร์ประเภทนี้สำหรับ SSL คุณจะมีทางเลือกดังต่อไปนี้

  • กำหนดค่าตัวจัดสรรภาระงานสำหรับ SSL: ทราฟฟิกได้รับการเข้ารหัสจากเว็บเบราว์เซอร์ของไคลเอ็นต์ไปยังตัวจัดสรรภาระงาน ทราฟฟิกจากตัวจัดสรรภาระงานไปยังกระบวนการเกตเวย์ Tableau Server จะไม่ได้เข้ารหัส คุณไม่จำเป็นต้องกำหนดค่า SSL ใน Tableau Server ตัวจัดสรรภาระงานจะเป็นตัวดำเนินการทั้งหมด

  • กำหนดค่า Tableau Server สำหรับ SSL: ทราฟฟิกได้รับการเข้ารหัสจากเว็บเบราว์เซอร์ของไคลเอ็นต์ไปยังตัวจัดสรรภาระงาน และจากตัวจัดสรรภาระงานไปยังกระบวนการเกตเวย์ Tableau Server หากต้องการข้อมูลเพิ่มเติม โปรดไปที่หัวข้อต่อไปนี้

ข้อมูลการกำหนดค่าเพิ่มเติมสำหรับสภาพแวดล้อมของคลัสเตอร์ Tableau Server

เมื่อคุณต้องการใช้ SSL บนโหนดของ Tableau Server ทั้งหมดที่เรียกใช้กระบวนการเกตเวย์ คุณจะต้องดำเนินการตามขั้นตอนต่อไปนี้

  1. กำหนดค่าตัวจัดสรรภาระงานภายนอกสำหรับทางผ่านของ SSL

    หรือหากคุณต้องการใช้พอร์ตอื่นนอกเหนือจาก 443 คุณจะสามารถกำหนดค่าตัวจัดสรรภาระงานภายนอก เพื่อสิ้นสุดพอร์ตที่ไม่ใช่มาตรฐานจากไคลเอ็นต์ ในสถานการณ์สมมตินี้ คุณจะกำหนดค่าตัวจัดสรรภาระงานให้เชื่อมต่อกับ Tableau Server ผ่านพอร์ต 443 สำหรับความช่วยเหลือ โปรดดู เอกสารที่ให้ไว้สำหรับตัวจัดสรรภาระงาน

  2. ตรวจสอบให้แน่ใจว่า ใบรับรอง SSL ที่ออกสำหรับชื่อโฮสต์ของตัวจัดสรรภาระงาน

  3. กำหนดค่าโหนด Tableau Server ตั้งต้นสำหรับ SSL

  4. หากคุณกำลังใช้ SSL ร่วมกัน ให้อัปโหลดไฟล์ใบรับรอง SSL CA โปรดดู tsm authentication mutual-ssl <คำสั่ง>

ใบรับรอง SSL และไฟล์สำคัญจะกระจายไปยังแต่ละโหนด โดยเป็นส่วนหนึ่งของกระบวนการกำหนดค่า

เตรียมสภาพแวดล้อม

เมื่อคุณได้รับไฟล์ใบรับรองจาก CA ให้บันทึกไปยังตำแหน่งที่ตั้งที่เข้าถึงได้โดย Tableau Server และบันทึกชื่อของใบรับรอง .crt และไฟล์ .key และตำแหน่งที่ตั้งที่คุณบันทึกไว้ คุณจะต้องให้ข้อมูลนี้กับ Tableau Server เมื่อคุณเปิดใช้งาน SSL

กำหนดค่า SSL บน Tableau Server

ใช้วิธีการที่คุณสบายใจมากที่สุด

  1. เปิด TSM ในเบราว์เซอร์:

    https://<tsm-computer-name>:8850 หากต้องการข้อมูลเพิ่มเติม โปรดดูเข้าสู่ระบบ Tableau Services Manager Web UI

  2. บนแท็บ การกำหนดค่า เลือก ความปลอดภัย > SSL ภายนอก

    หมายเหตุ: หากคุณกำลังอัปเดตหรือเปลี่ยนแปลงการกำหนดค่าที่มีอยู่ คลิกที่ รีเซ็ต เพื่อล้างการตั้งค่าที่มีอยู่ก่อนดำเนินการต่อ

  3. ภายใต้ SSL ของเว็บเซิร์ฟเวอร์ภายนอก เลือก เปิดใช้งาน SSL สำหรับการสื่อสารเซิร์ฟเวอร์

  4. อัปโหลดใบรับรองและไฟล์สำคัญ และหากจำเป็นสำหรับสภาพแวดล้อมของคุณ ให้อัปโหลดไฟล์สายโซ่ และป้อนคีย์วลีรหัสผ่าน:

    ภาพหน้าจอกำหนดค่า SSL

    หากคุณกำลังเรียกใช้ Tableau Server ในการปรับใช้แบบกระจาย ไฟล์เหล่านี้จะถูกกระจายโดยอัตโนมัติไปยังแต่ละโหนดที่เหมาะสมในคลัสเตอร์

  5. คลิกบันทึกการเปลี่ยนแปลงที่รอดำเนินการ

  6. คลิกการเปลี่ยนแปลงที่รอดำเนินการที่ด้านบนของหน้า:

  7. คลิกปรับใช้การเปลี่ยนแปลงและรีสตาร์ท

หลังจากที่คุณคัดลอกไฟล์ใบรับรองไปยังคอมพิวเตอร์แล้ว ให้เรียกใช้คำสั่งต่อไปนี้:

tsm security external-ssl enable --cert-file <path-to-file.crt> --key-file <path-to-file.key>

tsm pending-changes apply

โปรดดู ข้อมูลอ้างอิงคำสั่งที่ tsm security external-ssl enable เพื่อพิจารณาว่าคุณต้องการรวมตัวเลือกเพิ่มเติมสำหรับ external-ssl enable หรือไม่ Tableau มีข้อแนะนำที่เฉพาะเจาะจงสำหรับตัวเลือก --protocols

external-ssl enable command จะนำเข้าข้อมูลจากไฟล์ .crt และ .key หากคุณเรียกใช้คำสั่งนี้บนโหนดในคลัสเตอร์ Tableau Server คำสั่งนี้จะกระจายข้อมูลนี้ไปยังโหนดเกตเวย์อื่นใดด้วย

หากการเปลี่ยนแปลงที่รอดำเนินการจำเป็นต้องรีสตาร์ทเซิร์ฟเวอร์ คำสั่ง pending-changes apply จะแสดงข้อความแจ้งเพื่อแจ้งให้คุณทราบว่าจะรีสตาร์ท โดยข้อความแจ้งนี้จะปรากฏขึ้นแม้ว่าเซิร์ฟเวอร์จะหยุดทำงาน แต่ในกรณีนี้จะไม่มีการรีสตาร์ท คุณสามารถระงับข้อความแจ้งได้โดยใช้ตัวเลือก --ignore-prompt แต่การดำเนินการนี้จะไม่เปลี่ยนลักษณะการรีสตาร์ท หากการเปลี่ยนแปลงไม่จำเป็นต้องใช้การรีสตาร์ท ระบบจะปรับใช้การเปลี่ยนแปลงนั้นโดยไม่มีข้อความแจ้ง หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm pending-changes apply

การเปลี่ยนเส้นทางพอร์ตและการบันทึก

หลังจากมีการกำหนดค่าเซิร์ฟเวอร์สำหรับ SSL แล้ว ระบบจะยอมรับคำขอไปยังพอร์ตที่ไม่ใช่ SSL (ค่าเริ่มต้นคือพอร์ต 80) และเปลี่ยนเส้นทางไปยัง SSL พอร์ต 443 โดยอัตโนมัติ

หมายเหตุ: Tableau Server รองรับเฉพาะพอร์ต 443 เป็นพอร์ตที่ปลอดภัย โดยไม่สามารถเรียกใช้บนคอมพิวเตอร์ที่แอปพลิเคชันอื่นกำลัวใช้พอร์ต 443 อยู่

ทั้งนี้ มีการบันทึกข้อผิดพลาด SSL ไว้ในตำแหน่งที่ตั้งต่อไปนี้ ใช้บันทึกนี้เพื่อแก้ไขปัญหาการตรวจสอบความถูกต้องและปัญหาเกี่ยวกับการเข้ารหัส:

/var/opt/tableau/tableau_server/data/tabsvc/logs/httpd/error.log

เพิ่มพอร์ต SSL ไปยังไฟร์วอลล์ในเครื่อง

หากคุณกำลังเรียกใช้ไฟร์วอลล์ในเครื่อง คุณจะต้องเพิ่มพอร์ต SSL ไปยังไฟร์วอลล์บน Tableau Server ตัวอย่างด้านล่างนี้อธิบายถึงวิธีการกำหนดค่าไฟร์วอลล์ที่เรียกใช้กับการกระจาย RHEL/CentOS ตัวอย่างใช้ Firewalld ซึ่งเป็นไฟร์วอลล์เริ่มต้นบน CentOS

  1. เริ่มใช้ไฟร์วอล:

    sudo systemctl start firewalld

  2. เพิ่มพอร์ต 443 สำหรับ SSL:

    sudo firewall-cmd --permanent --add-port=443/tcp

  3. โหลดไฟร์วอลล์ใหม่และตรวจสอบการตั้งค่า

    sudo firewall-cmd --reload

    sudo firewall-cmd --list-all

เปลี่ยนแปลงหรืออัปเดตใบรับรอง SSL

หลังจากกำหนดค่า SSL แล้ว คุณอาจจำเป็นต้องอัปเดตใบรับรองเป็นระยะ ในบางกรณี คุณอาจจำเป็นต้องเปลี่ยนใบรับรองสำหรับการเปลี่ยนแปลงเกี่ยวกับการดำเนินการในสภาพแวดล้อมไอทีของคุณ ในกรณีใดกรณีหนึ่ง คุณจะต้องใช้ TSM เพื่อแทนที่ใบรับรอง SSL ที่ได้รับการกำหนดค่าอยู่แล้วสำหรับ SSL ภายนอก

ห้ามคัดลอกใบรับรองใหม่ไปยังไดเรกทอรีไฟล์บนระบบปฏิบัติการ แต่คุณควรดำเนินการดังนี้ เมื่อคุรเพิ่มใบรับรองด้วย UI ของเว็บ TSM หรือคำสั่ง tsm security external-ssl enable ระบบจะคัดลอกไฟล์ใบรับรองไปยังที่เก็บใบรับรองที่เหมาะสม ในการปรับใช้ที่กระจาย ใบรับรองยังถูกคัดลอกข้ามโหนดต่างๆ ในคลัสเตอร์อีกด้วย

หากต้องการเปลี่ยนแปลงหรืออัปเดตใบรับรอง SSL (และไฟล์สำคัญที่สอดคล้องกัน หากจำเป็น) ให้ปฏิบัติตามขั้นตอนต่างๆ ในหัวข้อก่อนหน้าของหัวข้อนี้ กำหนดค่า SSL บน Tableau Server

หลังจากที่คุณเปลี่ยนใบรับรอง คุณจะต้องเรียกใช้ tsm pending-changes apply เพื่อรีสตาร์ทบริการของ Tableau Server เรายังแนะนำให้คุณเริ่มใช้บริการอื่นใดใหม่บนคอมพิวเตอร์ที่ใช้ใบรับรอง SSL อีกด้วย หากคุณเปลี่ยนใบรับรองรูทในระบบปฏิบัติการ คุณจะต้องรีบูตคอมพิวเตอร์

ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ