Beispiel: SSL-Zertifikat – Generieren eines Schlüssels und einer CSR


Wichtig: An diesem Beispiel können sich IT-Fachleute orientieren, die Erfahrung mit SSL-Anforderungen und der Konfiguration besitzen. Die in diesem Artikel beschriebene Vorgehensweise ist nur eine von zahlreichen verfügbaren Methoden, die zum Generieren der erforderlichen Dateien verwendet werden können. Die hier beschriebene Vorgehensweise ist als Beispiel und nicht als Empfehlung zu verstehen.

Die Konfiguration von Tableau Server zur Verwendung von Secure Sockets Layer (SSL)-Verschlüsselung ermöglicht einen sicheren Zugriff auf den Server und schützt die zwischen Tableau Server und Tableau Desktop versendeten Daten.

Suchen Sie nach Tableau Server für Linux? Informationen finden Sie unter Beispiel: SSL-Zertifikat – Generieren eines Schlüssels und einer CSR(Link wird in neuem Fenster geöffnet).

Tableau Server verwendet die Technologie der Apache Software Foundation, die OpenSSL(Link wird in neuem Fenster geöffnet) beinhaltet. Sie können das OpenSSL-Toolkit zum Generieren einer Schlüsseldatei und einer Zertifikatsignieranforderung (Certificate Signing Request, CSR) verwenden, mit denen Sie dann ein signiertes SSL-Zertifikat erhalten.

Hinweis: Ab den Tableau Server-Versionen 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 und höher führt Tableau Server OpenSSL 3.1 aus.

Schritte zum Generieren eines Schlüssels und einer CSR

Um Tableau Server zur Verwendung von SSL zu konfigurieren, benötigen Sie ein SSL-Zertifikat. Um das SSL-Zertifikat zu erhalten, führen Sie folgende Schritte aus:

  1. Festlegen der OpenSSL-Konfigurationsumgebungsvariablen (optional)
  2. Generieren einer Schlüsseldatei.
  3. Erstellen einer Zertifikatsignieranforderung.
  4. Senden der Zertifikatsignieranforderung an eine Zertifizierungsstelle zum Erhalt eines SSL-Zertifikats.
  5. Konfigurieren von Tableau Server zur Verwendung von SSL mithilfe des Schlüssels und des Zertifikats.

Zusätzliche Informationen finden Sie auf der Seite SSL FAQ(Link wird in neuem Fenster geöffnet) der Apache Software Foundation-Website.

Konfigurieren eines Zertifikats für mehrere Domänennamen

Tableau Server unterstützt SSL für mehrere Domänen. Um diese Umgebung einzurichten, müssen Sie die OpenSSL-Konfigurationsdatei openssl.conf ändern und ein Zertifikat für einen alternativen Antragstellernamen (Subject Alternative Name, SAN) auf Tableau Server konfigurieren. Siehe Für SAN-Zertifikate: Ändern der OpenSSL-Konfigurationsdatei unten.

Festlegen der OpenSSL-Konfigurationsumgebungsvariablen (optional)

Um nicht bei jeder Verwendung der openssl.exe das Argument -config eingeben zu müssen, können Sie mithilfe der Umgebungsvariablen OPENSSL_CONF sicherstellen, dass die korrekte Konfigurationsdatei verwendet wird und alle Konfigurationsänderungen in nachfolgenden Vorgehensweisen dieses Artikels zu den erwarteten Ergebnissen führen (beispielsweise müssen Sie die Umgebungsvariable festlegen, um Ihrem Zertifikat einen SAN hinzuzufügen).

Öffnen Sie die Eingabeaufforderung als Administrator, und führen Sie folgenden Befehl aus:

set OPENSSL_CONF=c:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\conf\openssl.cnf

Hinweis: Wenn Sie die Open SSL-Konfigurationsumgebungsvariable festlegen, schließen Sie den Dateipfad nicht in Anführungszeichen ein.

Generieren eines Schlüssels

Generieren Sie eine Schlüsseldatei, mit der Sie eine Zertifikatsignieranforderung erzeugen.

  1. Öffnen Sie die Eingabeaufforderung als Administrator, und wechseln Sie in das Apache-Verzeichnis für Tableau Server. Führen Sie beispielsweise den folgenden Befehl aus:

    cd C:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\bin

  2. Führen Sie den folgenden Befehl zum Erstellen der Schlüsseldatei aus:

    openssl.exe genrsa -out <yourcertname>.key 4096

    Hinweise:
    • Dieser Befehl verwendet eine Länge von 4.096 Bit für den Schlüssel. Wählen Sie eine Bit-Länge von mindestens 2.048 Bit, da die mit einer kürzeren Bit-Länge verschlüsselte Kommunikation weniger sicher ist. Wenn kein Wert angegeben wird, werden 512 Bit verwendet.
    • Um PKCS#1-RSA-Schlüssel mit den Tableau Server-Versionen 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 und höher zu erstellen, müssen Sie die zusätzliche Option -traditional beim Ausführen des Befehls openssl genrsa" basierend auf OpenSSL 3.1 verwenden. Weitere Informationen zu der Option finden Sie unter https://www.openssl.org/docs/man3.1/man1/openssl-rsa.html(Link wird in neuem Fenster geöffnet).

Erstellen einer Zertifikatsignieranforderung zum Senden an eine Zertifizierungsstelle

Verwenden Sie die Schlüsseldatei, die Sie mit der oben stehenden Vorgehensweise erstellt haben, um die Zertifikatsignieranforderung (Certificate Signing Request, CSR) zu generieren. Senden Sie die Zertifikatsignieranforderung an eine Zertifizierungsstelle, um ein signiertes Zertifikat zu erhalten.

Wichtig: Wenn Sie ein SAN-Zertifikat konfigurieren möchten, um SSL für mehrere Domänen zu verwenden, führen Sie zunächst die Schritte unter Für SAN-Zertifikate: Ändern der OpenSSL-Konfigurationsdatei weiter unten aus, und kehren Sie dann zum vorliegenden Abschnitt zurück, um eine Zertifikatsignieranforderung zu generieren.

  1. Führen Sie den folgenden Befehl aus, um eine CSR-Datei zu erstellen:

    openssl.exe req -new -key yourcertname.key -out yourcertname.csr

    Wenn Sie die OpenSSL-Konfigurationsumgebungsvariable OPENSSL_CONF nicht festgelegt haben, kann eine der beiden folgenden Meldungen angezeigt werden:

    • eine Fehlermeldung über Konfigurationsinformationen, die nicht geladen werden können. In diesem Fall geben Sie den oben stehenden Befehl mit dem folgenden Parameter erneut ein: -config ..\conf\openssl.cnf.

    • eine Warnung, dass das Verzeichnis /usr/local/ssl nicht gefunden wurde. Dieses Verzeichnis ist unter Windows nicht vorhanden, sodass Sie die Meldung einfach ignorieren können. Die Datei wird erfolgreich erstellt.

    Zum Festlegen einer OpenSSL-Konfigurationsumgebungsvariablen lesen Sie den Abschnitt Festlegen der OpenSSL-Konfigurationsumgebungsvariablen (optional) in diesem Artikel.

  2. Geben Sie die erforderlichen Informationen ein, sobald Sie dazu aufgefordert werden.

    Hinweis: Geben Sie für Common Name (Allgemeiner Name) den Tableau Server-Namen ein. Der Tableau Server-Name ist die URL, die zur Verbindung mit Tableau Server verwendet wird. Wenn Sie Tableau Server beispielsweise erreichen, indem Sie tableau.example.com in die Adressleiste Ihres Browsers eingeben, ist tableau.example.com der allgemeine Name. Wenn der allgemeine Name nicht in den Servernamen aufgelöst wird, treten Fehler auf, sobald ein Browser oder Tableau Desktop versucht, eine Verbindung zu Tableau Server herzustellen.

Senden der Zertifikatsignieranforderung an eine Zertifizierungsstelle zum Erhalt eines SSL-Zertifikats

Senden Sie die Zertifikatsignieranforderung an eine kommerzielle Zertifizierungsstelle, um das digitale Zertifikat anzufordern. Weitere Informationen finden Sie im Wikipedia-Artikel Zertifizierungsstelle(Link wird in neuem Fenster geöffnet) und verwandten Artikeln, die Ihnen bei der Auswahl Ihrer ZS helfen.

Konfigurieren von Tableau Server mithilfe des Schlüssels und des Zertifikats

Wenn Sie sowohl den Schlüssel als auch das Zertifikat von der Zertifizierungsstelle besitzen, können Sie Tableau Server für die Verwendung von SSL konfigurieren. Entsprechende Schritte finden Sie unter Externe SSL-Konfiguration.

Für SAN-Zertifikate: Ändern der OpenSSL-Konfigurationsdatei

In einer Standardinstallation von OpenSSL sind einige Funktionen standardmäßig deaktiviert. Um SSL mit mehreren Domänennamen zu verwenden, führen Sie vor dem Generieren der Zertifikatsignieranforderung die folgenden Schritte zum Bearbeiten der Datei openssl.cnf aus.

  1. Öffnen Sie Windows Explorer, und wechseln Sie in den Apache-Ordner conf für Tableau Server.

    Beispiel: C:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\conf

  2. Öffnen Sie openssl.cnf in einem Texteditor, und suchen Sie die folgende Zeile: req_extensions = v3_req

    Dieser Eintrag kann durch ein Rautenzeichen (#) am Anfang der Zeile auskommentiert sein.

    In diesem Fall heben Sie die Auskommentierung auf, indem Sie das Zeichen # und das Leerzeichen am Anfang der Zeile entfernen.

  3. Wechseln Sie in den Abschnitt [ v3_req ] der Datei. Die ersten Zeilen enthalten den folgenden Text:

    # Extensions to add to a certificate request
    basicConstraints = CA:FALSE
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment

    Fügen Sie im Anschluss an die Zeile keyUsage folgende Zeile ein:

    subjectAltName = @alt_names

    Wenn Sie ein selbstsigniertes SAN-Zertifikat erstellen, gehen Sie wie folgt vor, um dem Zertifikat die Berechtigung zum Signieren zu erteilen:

    1. Fügen Sie der Zeile keyUsage cRLSign und keyCertSign hinzu, sodass sie folgendermaßen aussieht: keyUsage = nonRepudiation, digitalSignature, keyEncipherment, cRLSign, keyCertSign

    2. Fügen Sie im Anschluss an die Zeile keyUsage folgende Zeile ein: subjectAltName = @alt_names.

  4. Geben Sie im Abschnitt [alt_names] die Domänennamen an, die Sie mit SSL verwenden möchten.

    DNS.1 = [domain1]
    DNS.2 = [domain2]
    DNS.3 = [etc]

    In der folgenden Abbildung sind die Ergebnisse hervorgehoben. Ersetzen Sie den Platzhaltertext mit Ihren Domänennamen.

  5. Speichern und schließen Sie die Datei.

  6. Führen Sie die Schritte im Abschnitt Erstellen einer Zertifikatsignieranforderung zum Senden an eine Zertifizierungsstelle oben aus.

Zusätzliche Informationen

Wenn Sie eine andere Version von OpenSSL verwenden möchten, können Sie sie unter Open SSL für Windows(Link wird in neuem Fenster geöffnet) herunterladen.

Zurück zum Anfang
Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.