Konfigurieren eines benutzerdefinierten SSL-Zertifikats für den TSM-Administrationscontroller

Der Tableau Server Administration Controller (oder einfach Controller) ist die Verwaltungskomponente für Veränderungen an der Administration eines Tableau Server-Clusters. Standardmäßig befindet sich der Controller auf dem initialen (ersten) Knoten eines Tableau Server-Clusters. Obwohl es technisch möglich ist, mehrere Controller in einer einzigen Tableau-Clusterbereitstellung auszuführen, wird dies nicht empfohlen.

Der Controller beinhaltet eine API, die von verschiedenen Clients verwaltet werden kann: TSM-CLI, TSM-Webclient, REST-Clients (curl, postman) usw. Mithilfe dieser Clients können Tableau Server-Administratoren Konfigurationsänderungen am Servercluster vornehmen. Der Controller übernimmt gemeinsam mit Zookeeper die Verwaltung und Ausführung von Konfigurationsänderungen auf allen Knoten.

Standard-TSM-SSL-Funktionalität

Anmerkung: Entsprechend der Konvention wird hier der Begriff "SSL" verwendet, wenn es um die Verwendung von TLS zur Sicherung des HTTPS-Datenverkehrs geht.

Standardmäßig wird die Clientverbindung mithilfe eines selbstsignierten Zertifikats mit SSL verschlüsselt, das von Tableau Server während der Einrichtung erstellt und vom Controller verlängert wird. Zusätzlich zur Verschlüsselung wird die Identität (Hostname oder IP) des Controller-Hostcomputers während des SSL-Handshakes anhand des im Zertifikat angegebenen Antragstellernamens validiert. Da das Zertifikat jedoch selbstsigniert ist, ist seine Vertrauenswürdigkeit nicht absolut.

Im Fall einer Verbindung zum Controller über die Befehlszeilenschnittstelle stellt das Fehlen einer absoluten Vertrauenswürdigkeit des Zertifikats aber kein großes Sicherheitsrisiko dar, da ein Man-in-the-Middle-Angriff normalerweise einen böswilligen Benutzerzugriff auf den Tableau Server-Cluster in einem privaten Netzwerk erfordern würde. Wenn ein böswilliger Benutzer das Zertifikat für den Controller in einem Befehlszeilenschnittstellen-Szenario fälschen kann, kann er sich mühelos Zugriff verschaffen.

Doch in einem Szenario, in dem sich Administratoren von außerhalb des internen Netzwerks mit dem Controller über die TSM-Webschnittstelle verbinden, stellt das Fehlen einer Host-Validierung über eine vertrauenswürdige Zertifizierungsstelle ein größeres Sicherheitsrisiko dar.

Bis vor kurzem konnten Kunden, die die TSM-Webschnittstelle auf einem Windows-Computer ausführen, das Zertifizierungsstellen-Zertifikat von Tableau Server in einem vertrauenswürdigen Windows-Stammspeicher ablegen. Die meisten Browser würden die Vertrauenswürdigkeit des Zertifikats aufgrund dieser Konfiguration validieren. Mittlerweile validiert Chrome keine selbstsignierten Zertifikate mehr (d. h. vertraut ihnen nicht), die im Vertrauensspeicher des Betriebssystems abgelegt sind. Jetzt vertraut Chrome (und die meisten anderen gängigen Browser) nur noch Zertifikaten, die mit einer vertrauenswürdigen Stammzertifizierungsstelle eines Drittanbieters verkettet sind.

Benutzerdefiniertes SSL-Zertifikat von Tableau Server v2023.1

Das Feature des benutzerdefinierte SSL-TSM-Zertifikats schließt diese Vertrauenslücke, indem Administratoren ermöglicht wird, den TSM-Controller mit einem Identitätszertifikat zu konfigurieren, das mit einer vertrauenswürdigen Stammzertifizierungsstelle eines Drittanbieters verkettet ist.

Dazu sollten Sie Folgendes wissen:

  • Die Vertrauenswürdigkeit des benutzerdefinierten TSM-SSL-Zertifikats wird validiert, wenn eine Verbindung mit der TSM-Webschnittstelle hergestellt wird.
  • Beim TSM-Befehlszeilenschnittstellen-Szenario wird kein Versuch unternommen, die Vertrauenswürdigkeit zu validieren. Wie oben beschrieben, stellt ein Man-in-the-Middle-Angriff beim Befehlszeilenschnittstellen-Szenario keine reale Gefahr dar.
  • Bei der Konfiguration kann eine Zertifikatskette eingebunden werden. Die Kette kann alle Zertifikate beinhalten, die von zwischengeschalteten Zertifizierungsstellen signiert wurden. Die Kette kann an einem beliebigen Punkt enden, und es wird davon ausgegangen, dass alle Zertifikate, die in der Kette fehlen, im Vertrauensspeicher des Betriebssystems installiert sind.

Konfiguration

Sie müssen die TSM-Befehlszeilenschnittstelle (CLI) verwenden, um ein benutzerdefiniertes SSL-Zertifikat für TSM zu konfigurieren oder aktualisieren.

Siehe tsm security custom-tsm-ssl enable.