Configurar la SSL de Postgres para permitir las conexiones directas desde los clientes

Cuando se configura Tableau Server para utilizar SSL en la comunicación interna con el repositorio de Postgres, también puede requerir que los clientes de Tableau y los clientes de Postgres externos que se conecten directamente al repositorio verifiquen la identidad del repositorio de Postgres en Tableau comparando el certificado SSL presentado por la instancia de Postgres interna con el certificado distribuido al cliente de Tableau o al cliente de Postgres externo.

Las conexiones directas incluyen las que utilizan el usuario tableau o readonly. Como ejemplos de clientes de Tableau tenemos Tableau Desktop, Tableau Mobile, la API de REST y navegadores web.

  1. Habilite el SSL interno para el repositorio ejecutando los siguientes comandos:

    tsm security repository-ssl enable

    tsm pending-changes apply

    Esto permite la compatibilidad de SSL interno y genera nuevos archivos de clave y de certificado del servidor, además de obligar a todos los clientes de Tableau a utilizar SSL para conectarse al repositorio. Para ver otras opciones y comandos repository-ssl, consulte tsm security.

    Si los cambios pendientes requieren un reinicio del servidor, el comando pending-changes apply mostrará un mensaje para informarle de que se producirá un reinicio. Este mensaje aparece aunque el servidor esté detenido, pero en ese caso no se reiniciará. Puede suprimir el mensaje con la opción --ignore-prompt, pero no se modificará el comportamiento de reinicio. Si los cambios no requieren un reinicio, se aplicarán sin ningún mensaje. Para obtener más información, consulte tsm pending-changes apply.

  2. (Opcional) Si ha configurado su equipo cliente para validar las conexiones SSL de Postgres, entonces debe importar el certificado generado por Tableau Server a los equipos que ejecutan Tableau Desktop. Haga lo siguiente para cada equipo cliente que se vaya a conectar directamente al repositorio:

    • Copie el archivo server.crt en el equipo cliente. Lo encontrará en el siguiente directorio:

      C:/ProgramData/Tableau/Tableau Server/data/tabsvc/config/pgsql_0.<version_code>/security

      Nota: no copie el archivo server.key en el equipo cliente. Este archivo solo debe estar en el servidor.

    • Importe el certificado en el almacén de certificados del equipo.

      Para obtener información, consulte la documentación del fabricante del sistema operativo.

  3. (Opcional) Configure cualquier cliente de Postgres externo (que no sea de Tableau; PgAdmin o Dbeaver, por ejemplo) para verificar la identidad del repositorio de Postgres en Tableau Server. Haga esto en el controlador JDBC postgresql que el cliente utiliza para conectarse estableciendo la directiva "sslmode" en "verify-ca" o "verify-full". Las opciones disponibles pueden ser diferentes en función de la versión del controlador de Postgres que se utilice. Para obtener más información, consulte la documentación del controlador y la compatibilidad con SSL.

¡Gracias por sus comentarios!