Ejemplo: certificado SSL: generar una clave y una CSR
Importante: El objetivo de este ejemplo es proporcionar información general a los profesionales de TI que cuentan con experiencia en los requisitos y la configuración de SSL. El procedimiento descrito en este artículo es tan solo uno de los muchos métodos disponibles que se pueden utilizar para generar los archivos necesarios. El proceso que se describe aquí debe tratarse como un ejemplo, no como una recomendación.
Al configurar Tableau Server para utilizar el cifrado SSL (Capa de sockets seguros), se garantiza que el acceso al servidor sea seguro y que los datos enviados entre Tableau Server y Tableau Desktop estén protegidos.
¿Busca Tableau Server en Linux? Consulte Ejemplo: certificado SSL: generar una clave y una CSR(El enlace se abre en una ventana nueva).
Tableau Server utiliza Apache, que incluye OpenSSL(El enlace se abre en una ventana nueva). Puede utilizar el kit de herramientas de OpenSSL para generar un archivo de claves y una solicitud de firma de certificado (CSR), que se pueden utilizar para obtener un certificado SSL firmado.
Nota: A partir de las versiones 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 y posteriores, Tableau Server ejecuta OpenSSL 3.1.
Pasos para generar una clave y una CSR
Para configurar Tableau Server para poder utilizar SSL, debe disponer de un certificado SSL. Para obtener uno, siga estos pasos:
- Establecer la variable de entorno de configuración de OpenSSL (opcional).
- Generar un archivo de claves.
- Crear una solicitud de firma de certificado (CSR).
- Enviar la CSR a una autoridad emisora de certificados (CA) para obtener un certificado SSL.
- Utilizar la clave y el certificado para configurar Tableau Server para poder utilizar SSL.
Encontrará más información en la página de preguntas frecuentes de SSL(El enlace se abre en una ventana nueva) del sitio web de Apache Software Foundation.
Configurar un certificado para varios nombres de dominio
Tableau Server admite el uso de SSL para varios dominios. Para configurar este entorno, debe modificar el archivo de configuración de OpenSSL, openssl.conf, y configurar un certificado SAN (nombre alternativo del firmante) en Tableau Server. Consulte la sección Para certificados SAN: modificar el archivo de configuración de OpenSSL, que aparece a continuación.
Establecer la variable de entorno de configuración de OpenSSL (opcional)
Para no tener que utilizar el argumento -config
cada vez que utilice openssl.exe, puede utilizar la variable de entorno OPENSSL_CONF
para asegurarse de que utiliza el archivo de configuración correcto y de que todos los cambios de configuración efectuados en los siguientes procedimientos de este artículo generan los resultados previstos (por ejemplo, debe establecer la variable de entorno para añadir un nombre alternativo de firmante al certificado).
Abra la línea de comando como administrador y ejecute el siguiente comando:
set OPENSSL_CONF=c:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\conf\openssl.cnf
Nota: Al establecer la variable de entorno de configuración de OpenSSL, no escriba la ruta del archivo entre comillas.
Generar una clave
Genere un archivo de claves que utilizará para generar una solicitud de firma de certificado.
Abra la línea de comandos como administrador y vaya al directorio de Apache de Tableau Server. Por ejemplo, ejecute el siguiente comando:
cd C:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\bin
Ejecute el siguiente comando para crear el archivo de claves:
openssl.exe genrsa -out <yourcertname>.key 4096
Notas:- Este comando utiliza una longitud de 4096 bits para la clave. Debe seleccionar una longitud que sea como mínimo de 2048 bits, puesto que la comunicación cifrada con una longitud de bits inferior es menos segura. Si no se proporciona ningún valor, se utilizará el valor de 512 bits.
- Para crear claves RSA PKCS#1 con las versiones de Tableau Server 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 y posteriores, debe usar la opción adicional
-traditional
al ejecutar el comandoopenssl genrsa
” basado en OpenSSL 3.1. Para obtener más información sobre esta opción, consulte https://www.openssl.org/docs/man3.1/man1/openssl-rsa.html (en inglés)(El enlace se abre en una ventana nueva).
Crear una solicitud de firma de certificado para enviarla a una autoridad emisora de certificados
Utilice el archivo de claves que ha creado en el procedimiento anterior para generar la solicitud de firma de certificado (CSR). Debe enviar la CSR a una autoridad emisora de certificados (CA) para obtener un certificado firmado.
Importante: Si desea configurar un certificado SAN para utilizar SSL para varios dominios, primero debe seguir los pasos descritos en la sección Para certificados SAN: modificar el archivo de configuración de OpenSSL, que aparece a continuación, y volver aquí para generar una CSR.
Ejecute el siguiente comando para crear un archivo de solicitud de firma de certificado (CSR):
openssl.exe req -new -key yourcertname.key -out yourcertname.csr
Si no ha establecido la variable de entorno de configuración de OpenSSL,
OPENSSL_CONF
, puede que vea alguno de los siguientes mensajes:Un mensaje de error relacionado con la información de configuración que no se puede cargar. En este caso, vuelva a escribir el comando anterior con el siguiente parámetro:
-config ..\conf\openssl.cnf
.Una advertencia de que no se ha encontrado el directorio
/usr/local/ssl
. Este directorio no existe en Windows, por lo que puede ignorar el mensaje. El archivo se ha creado correctamente.
Para establecer una variable de entorno de configuración de OpenSSL, consulte la sección Establecer la variable de entorno de configuración de OpenSSL (opcional), que aparece en este artículo.
Cuando se le solicite, indique la información necesaria.
Nota: En Nombre común, escriba el nombre de Tableau Server. El nombre de Tableau Server es la dirección URL que se utilizará para acceder a Tableau Server. Por ejemplo, si accede a Tableau Server escribiendo
tableau.example.com
en la barra de direcciones del navegador,tableau.example.com
será el nombre común. Si el nombre común no se resuelve en el nombre de servidor, se producirán errores cuando un navegador o Tableau Desktop intente conectarse a Tableau Server.
Enviar la CSR a una autoridad emisora de certificados para obtener un certificado SSL
Envíe la CSR a una autoridad emisora de certificados (CA) comercial para solicitar el certificado digital. Para obtener información, consulte el artículo de la Wikipedia Autoridad de certificación(El enlace se abre en una ventana nueva), así como cualquier otro artículo relacionado que le sirva para decidir la CA que va a utilizar.
Utilizar la clave y el certificado para configurar Tableau Server
Si tiene la clave y el certificado de la CA, puede configurar Tableau Server para utilizar SSL. Siguiendo los pasos descritos en Configurar SSL externa.
Para certificados SAN: modificar el archivo de configuración de OpenSSL
En una instalación estándar de OpenSSL, algunas funciones no están habilitadas de forma predeterminada. Para utilizar SSL con varios nombres de dominio, antes de generar la CSR, debe seguir estos pasos para modificar el archivo openssl.cnf.
Abra el Explorador de Windows y vaya a la carpeta de Apache conf para Tableau Server.
Por ejemplo:
C:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\conf
Abra openssl.cnf en un editor de texto y busque la siguiente línea:
req_extensions = v3_req
Es posible que esta línea incluya al inicio una almohadilla (#).
Si la línea incluye al inicio el carácter # y caracteres de espacio, elimínelos.
Vaya a la sección [ v3_req ] del archivo. Las primeras líneas contienen el siguiente texto:
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEnciphermentDespués de la línea keyUsage, inserte la siguiente línea:
subjectAltName = @alt_names
Si va a crear un certificado SAN autofirmado, lleve a cabo estos pasos para dar permiso al certificado para firmar el certificado:
Añada
cRLSign
ykeyCertSign
a la línea keyUsage del siguiente modo:keyUsage = nonRepudiation, digitalSignature, keyEncipherment, cRLSign, keyCertSign
Después de la línea keyUsage, inserte la siguiente línea:
subjectAltName = @alt_names
En la sección [alt_names], indique los nombres de dominio que desea utilizar con SSL.
DNS.1 = [domain1]
DNS.2 = [domain2]
DNS.3 = [etc]En la siguiente imagen se muestran los resultados resaltados, con el texto de marcador de posición que reemplazaría por los nombres de dominio.
Guarde los cambios y cierre el archivo.
Siga los pasos descritos en la sección Crear una solicitud de firma de certificado para enviarla a una autoridad emisora de certificados, que aparece más arriba.
Información adicional
Si prefiere utilizar otra versión de OpenSSL, puede descargarla en OpenSSL for Windows(El enlace se abre en una ventana nueva) (OpenSSL para Windows).