Konfigurieren von SSL für die interne Postgres-Kommunikation
Sie können Tableau Server für die Verwendung von SSL (TLS) für die verschlüsselte Kommunikation zwischen dem Postgres-Repository und anderen Serverkomponenten konfigurieren. Die interne Kommunikation zwischen den Tableau Server-Komponenten wird standardmäßig nicht verschlüsselt.
Während Sie die Unterstützung für internes SSL aktivieren, können Sie gleichzeitig auch die Unterstützung für direkte Verbindungen zwischen Repository und Tableau-Clients (beispielsweise Tableau Desktop, Tableau Mobile, REST API und Webbrowser) konfigurieren.
Öffnen Sie TSM als Serveradministrator in einem Browser:
https://<tsm-computer-name>:8850
Weitere Informationen finden Sie unter Anmelden bei der Webschnittstelle von Tableau Services Manager.
Wählen Sie auf der Registerkarte Konfiguration die Option Sicherheit > Repository-SSL aus.
Wählen Sie eine der Optionen für die Verwendung von Repository-SSL.
Für alle Verbindungen erforderlich: Verwendet SSL für die interne Kommunikation von Tableau Server und erfordert SSL für Tableau-Clients und alle externen (nicht-Tableau-) Clients, die sich direkt mit dem Postgres-Repository verbinden (auch wenn der Benutzer tableau oder readonly verwendet wird).
Wichtig: Wenn Sie nicht die Schritte unter Konfigurieren von Postgres-SSL zum Erlauben direkter Verbindungen von Clients ausführen, um die Zertifikatsdateien am richtigen Ort auf den Client-Computern zu platzieren, sind Tableau-Clients und externe Postgres-Clients nicht in der Lage, die Identität des Tableau-Repositorys zu überprüfen, wenn sie die Zertifikate auf den Client-Computern mit dem SSL-Zertifikat des Repository-Computers vergleichen.
Optional für direkte Verbindungen mit Benutzern: Wenn diese Option aktiviert ist, verwendet Tableau SSL für die interne Tableau Server-Kommunikation und unterstützt, erfordert aber kein SSL für direkte Verbindungen zum Server von Tableau-Clients und externen Clients.
Deaktiviert für alle Verbindungen (Standard): Die interne Serverkommunikation wird nicht verschlüsselt, und SSL ist für direkte Verbindungen von den Clients nicht erforderlich.
Klicken Sie auf OK.
Bei den ersten beiden Optionen werden die Zertifikatdateien server.crt und server.key für den Server erstellt und im folgenden Verzeichnis gespeichert.
C:/ProgramData/Tableau/Tableau Server/data/tabsvc/config/pgsql<version>/security
Verwenden Sie diese CRT-Datei, wenn Sie Clients für direkte Verbindungen konfigurieren möchten.
Führen Sie die folgenden Befehle aus, um SSL für den internen Datenverkehr unter den Serverkomponenten zu aktivieren:
tsm security repository-ssl enable
tsm pending-changes apply
Aktionen des Befehls
repository-ssl enable
generiert die Zertifikatdateien des Servers und platziert sie in folgendes Verzeichnis:
C:/ProgramData/Tableau/Tableau Server/data/tabsvc/config/pgsql<version>/security
Dieser Befehl richtet Tableau Server standardmäßig so ein, dass für den Datenverkehr zwischen dem Repository und anderen Serverkomponenten sowie für direkte Verbindungen von Tableau-Clients (auch wenn der Benutzer tableau oder readonly verwendet wird) SSL erforderlich ist.
Zum Abschluss der Konfiguration müssen Sie auch die im Abschnitt Konfigurieren von Postgres-SSL zum Erlauben direkter Verbindungen von Clients beschriebenen Schritte ausführen, um die Zertifikatdateien in die richtigen Verzeichnisse auf den Clientcomputern einzufügen.
Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl pending-changes apply
eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt
unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.
Option für repository-ssl enable
Wenn Sie SSL nur für die interne Tableau Server-Kommunikation vorschreiben möchten, nicht aber für direkte Verbindungen zwischen den Clientanwendungen, verwenden Sie mit dem Befehl repository-ssl enable
die folgende Option:
--internal-only
Clusterumgebungen
Wenn Sie repository-ssl enable
auf einem Clusterknoten ausführen, wird die benötigte Zertifikatdatei in das gleiche Verzeichnis auch auf den anderen Clusterknoten kopiert.
Informationen zum Herunterladen des öffentlichen Zertifikats für direkte Verbindungen finden Sie unter Konfigurieren von Postgres-SSL zum Erlauben direkter Verbindungen von Clients.