Aide de Tableau Server sur Windows

La prise en charge de TLS pour la passerelle indépendante se trouve dans Tableau Server 2022.1.2 et versions ultérieures.

Tableau Server et la passerelle indépendante de Tableau Server utilisent tous deux le module SSL (mod_ssl) construit avec OpenSSL pour mettre en œuvre les fonctionnalités de Transport Layer Security (TLS).

En raison de sa complexité et de sa nature sensible à la sécurité, nous recommandons que la configuration TLS soit planifiée et mise en œuvre par un professionnel de l’informatique qui connaît TLS sur Apache httpd.

Dans de nombreux cas, nous utilisons « SSL» dans les noms des éléments pour assurer la compatibilité avec les propriétés ou concepts de configuration TSM ou Apache httpd existants. « SSL » fait en fait référence à des versions de protocole désormais considérées comme non sécurisées et obsolètes. Cependant, le nom hérité persiste et est souvent utilisé de manière interchangeable avec TLS comme convention. Tableau Server et la passerelle indépendante ne prennent pas en charge les protocoles de l’ère SSL.

Exemple de configuration de TLS

Pour un exemple de configuration de TLS de bout en bout, consultez Configurer SSL/TLS de l’équilibreur de charge vers Tableau Server(Le lien s’ouvre dans une nouvelle fenêtre) dans le Guide de déploiement en entreprise. La rubrique montre un exemple pas à pas de configuration de TLS sur Tableau Server sous Linux dans un déploiement AWS. Même si l’exemple décrit le processus pour Linux, l’exemple de configuration est également utile pour Tableau Server sous Windows.

Présentation de la configuration de TLS

Vous pouvez configurer TLS pour HTTPS sur l’une des sections suivantes du chemin Internet vers Tableau Server :

• Depuis le réseau externe (Internet ou équilibreur de charge frontal) vers la passerelle indépendante
• Depuis la passerelle indépendante vers Tableau Server
• Pour le processus de ménage (HK) depuis Tableau Server vers la passerelle indépendant
  

Cette rubrique fournit des procédures pour configurer chacun de ces tronçons.

Vous devez apporter des modifications de configuration aux ordinateurs de la passerelle indépendante et au groupement Tableau Server.

Exigences et considérations relatives au certificat

Les exigences relatives au certificat pour la passerelle indépendante sont les mêmes que celles spécifiées pour Tableau Server « SSL externe ». Consultez Exigences relatives aux certificats SSL.

Autres considérations :

• Pour simplifier la gestion et le déploiement des certificats, et comme meilleure pratique de sécurité, nous vous recommandons d’utiliser des certificats générés par une autorité de certification (CA) tierce de confiance majeure. Vous pouvez aussi générer des certificats auto-signés ou utiliser des certificats d’une PKI pour TLS. Dans ce cas, faites attention aux options de configuration pour approuver les certificats CA et valider les certificats.
• Si votre mise en œuvre nécessite l’utilisation d’un fichier de chaîne de certificats, consultez l’article de la base de connaissances, Configurer TLS sur une passerelle indépendante lors de l’utilisation d’un certificat doté d’une chaîne de certificats(Le lien s’ouvre dans une nouvelle fenêtre).
• Si vous exécutez plusieurs instances de la passerelle indépendante, vous devez distribuer des certificats à chaque ordinateur au même emplacement (chemin d’accès au fichier).
• Si vous exécutez un déploiement Tableau Server avec plusieurs nœuds, les certificats que vous téléversez avec les commandes TSM sont automatiquement distribués sur les nœuds. Exécutez toutes les commandes TSM sur le nœud initial.

Configurations TLS globales

Les configurations suivantes sont globales. Les options de configuration ci-dessous font référence aux clés de configuration qui doivent être définies avec la commande tsm configuration set. Les commandes doivent inclure l’option --force-keys.

Il est peu probable que vous deviez modifier ces valeurs.

Notez que chaque paire de clés partage le même format de dénomination, où la chaîne, tsig, définit la valeur de la passerelle indépendante. La clé qui n’inclut pas la chaîne, tsig, définit la valeur du processus de passerelle sur le groupement Tableau Server.

Si vous ne définissez pas de valeur pour la clé tsig, la valeur par défaut de la passerelle Tableau Server sera utilisée.

gateway.tsig.httpd.socache ou gateway.httpd.socache

Par défaut : shmcb

Autre valeur : dbm

Le type de stockage du cache de session SSL inter-processus. Pour plus d’informations sur les types de stockage shmcb et dbm, consultez SSLSessionCache Directive(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web d’Apache.

gateway.tsig.httpd.shmcb.size ou gateway.httpd.shmcb.size

Par défaut : 2048000

Quantité de mémoire, en octets, à utiliser pour le tampon circulaire lors de l’utilisation du type de stockage shmcb.

Remarque : Une autre clé globale est gateway.tsig.ssl.key.passphrase.dialog. Le cas échéant, il n’y a qu’une seule configuration pour gateway.tsig.ssl.key.passphrase.dialog. De par sa conception, elle collecte les phrases secrètes pour tous les fichiers de clé privée chiffrés dans la configuration. Les sections applicables plus loin dans cette rubrique décrivent l’utilisation de cette clé.

TLS externe vers la passerelle indépendante

Le processus de configuration des connexions externes pour terminer TLS sur les serveurs de passerelle indépendante est conceptuellement similaire à la façon dont « SSL externe » est configuré pour un groupement Tableau Server. La mécanique est différente. TSM ne distribue pas automatiquement le certificat et le matériel de clé aux nœuds de passerelle indépendante. De plus, la passerelle indépendante ne fournit pas automatiquement un moyen de fournir la phrase secrète de clé TLS facultative au démarrage.

Les étapes suivantes décrivent comment configurer TLS à partir d’une source externe vers des ordinateurs de passerelle indépendante.

Étape 1 : Distribuer les fichiers aux ordinateurs de passerelle indépendante

1. Placez les certificats et les fichiers associés dans un emplacement et avec des autorisations permettant au service de passerelle indépendante (tsig-httpd) de les lire. Nous vous recommandons de restreindre l’accès aux fichiers clés de sorte que seul le service de passerelle indépendante puisse les lire.
2. Placez tous les fichiers, certificats et clés exactement aux mêmes emplacements sur tous les ordinateurs de la passerelle indépendante. Placez les fichiers en dehors des chemins TSIG_INSTALL et TSIG_DATA afin qu’ils ne soient pas supprimés si vous réinstallez ou mettez à niveau la passerelle indépendante.

Étape 2 : Mettre à jour les variables d’environnement sur les ordinateurs de passerelle indépendante

Sur chaque ordinateur de passerelle indépendante, définissez les variables d’environnement TSIG_PORT et TSIG_PROTOCOL sur 443 (par convention, mais tout numéro de port TCP inutilisé est pris en charge) et https, respectivement.

Modifiez ces valeurs en réexécutant le script de post-installation pour fournir une valeur différente pour TSIG_PORT et TSIG_PROTOCOL. Par défaut, le script est enregistré sur C:\Program Files\Tableau\Tableau Server\independentgateway\scripts\initialize-tsig.bat.

Étape 3 : Définir les propriétés de configuration TLS sur Tableau Server

La plupart des clés de configuration TSM figurant dans le tableau suivant sont dérivées des directives Apache httpd. Ainsi, les valeurs de configuration de ces clés de configuration TSM correspondent directement aux valeurs valides de la directive Apache correspondante. Les liens vers les directives correspondantes sont inclus dans le tableau suivant.

Dans certains cas. la configuration utilisera des configurations de secours si une clé particulière n’est pas définie. Celles-ci sont appelées dans le tableau ci-dessous.

Les options de configuration figurant dans le tableau suivant font référence aux clés de configuration que vous devez définir avec la commande tsm configuration set. Toutes les commandes doivent inclure l’option --force-keys. Par exemple :

tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys

Après avoir configuré les clés de configuration, vous devez exécuter tsm pending-changes apply.

Passerelle indépendante vers Tableau Server

Cette section décrit comment chiffrer la connexion entre la passerelle indépendante et Tableau Server.

Étape 1 : Configurer et activer TLS sur Tableau Server

Consultez Configurer SSL pour le trafic HTTP externe vers et depuis Tableau Server.

Notez que « SSL » est en fait une mise en œuvre TLS, et « externe » fait référence à une connexion externe à Tableau Server. Dans ce scénario, la passerelle indépendante est la connexion « externe ».

Nous vous recommandons d’activer et de vérifier que les clients peuvent se connecter avec TLS directement à Tableau Server avant de configurer la passerelle indépendante.

Étape 2 : Distribuer les fichiers de certificat sur les ordinateurs de passerelle indépendante

Vous devrez distribuer les fichiers de certificat sur les ordinateurs de la passerelle indépendante si l’une des conditions suivantes est vraie :

• Vous utilisez des certificats auto-signés ou PKI pour les certificats TLS sur le déploiement de Tableau Server.
• Vous activez le TLS mutuel sur la connexion de la passerelle indépendante à Tableau Server.
  

Comme pour tous les fichiers liés à TLS sur les ordinateurs de passerelle indépendante, vous devez placer les fichiers dans les mêmes chemins sur chaque ordinateur. Tous les noms de fichiers pour les fichiers partagés TLS doivent également être identiques.

Étape 3 : Définir les propriétés de configuration TLS sur Tableau Server

La plupart des clés de configuration TSM figurant dans le tableau suivant sont dérivées des directives Apache httpd. Ainsi, les valeurs de configuration de ces clés de configuration TSM correspondent directement aux valeurs valides de la directive Apache correspondante. Les liens vers les directives correspondantes sont inclus dans le tableau suivant.

Dans certains cas. la configuration utilisera des configurations de secours si une clé particulière n’est pas définie. Celles-ci sont appelées dans le tableau ci-dessous.

Les options de configuration figurant dans le tableau suivant font référence aux clés de configuration que vous devez définir avec la commande tsm configuration set. Toutes les commandes doivent inclure l’option --force-keys. Par exemple :

tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys

Après avoir configuré les clés de configuration, vous devez exécuter tsm pending-changes apply.

Étape 4 : Téléverser le certificat AC racine sur Tableau Server

Si le certificat TLS que vous utilisez sur les ordinateurs de passerelle indépendante est un certificat auto-signé ou généré par PKI, vous devez effectuer cette étape supplémentaire. Si le certificat TLS que vous utilisez sur l’ordinateur de passerelle indépendante est un certificat AC tierce approuvée, vous pouvez ignorer cette étape.

Copiez le certificat CA racine utilisé pour les ordinateurs de passerelle indépendante sur le nœud initial de Tableau Server, puis exécutez les commandes suivantes :

tsm security custom-cert add -c <root-certificate-file-name>.pem
tsm pending-changes apply

Connexion de ménage entre Tableau Server et la passerelle indépendante

Le processus de ménage (HK) maintient l’état de la configuration entre le déploiement dorsal de Tableau Server et la passerelle indépendante.

Lorsque la passerelle indépendante est installée, la configuration par défaut fournit une connexion HTTP non chiffrée. La passerelle indépendante écoute les demandes de ménage provenant du groupement Tableau Server (comme vous l’avez défini lors de l’installation).

Si vous exécutez plusieurs instances de la passerelle indépendante, tous les serveurs doivent accepter les demandes de ménage avec TLS ou tous sans TLS. Cette section décrit comment configurer la connexion HK pour TLS. Ce processus nécessite le redémarrage de Tableau Server et entraînera un temps d’arrêt.

Comme pour les scénarios TLS précédents décrits ci-dessus, de nombreux changements de configuration pour la connexion HK sont définis sur les propriétés de configuration gérées par le groupement Tableau Server. Cependant, la configuration HK TLS nécessite des étapes supplémentaires sur la passerelle indépendante.

Étape 1 : Distribuer les fichiers aux ordinateurs de passerelle indépendante

Si vous avez activé TLS avec un réseau externe et une passerelle indépendante, vous pouvez utiliser le même certificat et les mêmes fichiers de clé pour la connexion HK.

Si vous utilisez les mêmes ressources, le seul autre fichier de certificat que vous devez distribuer est le certificat AC racine pour le certificat utilisé par Tableau Server. Si le certificat TLS présenté par Tableau Server est généré par une AC tierce de confiance, vous n’avez pas besoin de copier un certificat AC racine sur les ordinateurs de la passerelle indépendante.

1. Placez les certificats et les fichiers associés dans un emplacement et avec des autorisations permettant au service de passerelle indépendante (tsig-httpd) de les lire. Nous vous recommandons de restreindre l’accès aux fichiers clés de sorte que seul le service de passerelle indépendante puisse les lire.
2. Placez tous les fichiers, certificats et clés exactement aux mêmes emplacements sur tous les ordinateurs de la passerelle indépendante.

Étape 2 : Importer le certificat AC racine de la passerelle indépendante dans le magasin de confiance de Tableau Server

Si le certificat TLS que vous utilisez sur les ordinateurs de passerelle indépendante est un certificat auto-signé ou généré par PKI, vous devez effectuer cette étape supplémentaire. Si le certificat TLS que vous utilisez sur l’ordinateur de passerelle indépendante est un certificat AC tierce approuvée, vous pouvez ignorer cette étape.

Vous ne pouvez téléverser qu’un seul certificat CA racine sur Tableau Server. Par conséquent, si vous avez déjà téléversé un certificat AC racine, le même certificat AC racine doit signer le certificat que vous utiliserez pour la connexion HK.

Copiez le certificat CA racine utilisé pour les ordinateurs de passerelle indépendante sur le nœud initial de Tableau Server, puis exécutez les commandes suivantes :

tsm security custom-cert add -c <root-certificate-file-name>.pem
tsm pending-changes apply

Étape 3 : Mettre à jour les variables d’environnement sur les ordinateurs de passerelle indépendante

Sur chaque ordinateur de passerelle indépendante, définissez la variable d’environnement TSIG_HK_PROTOCOL sur https. Vous pouvez spécifier un autre port pour HK (la valeur par défaut est 21319) en définissant également la variable d’environnement TSIG_HK_PORT.

Modifiez ces valeurs en réexécutant le script de post-installation pour fournir une valeur différente pour TSIG_HK_PROTOCOL et TSIG_HK_PORT. Par défaut, le script est enregistré sur C:\Program Files\Tableau\Tableau Server\independentgateway\scripts\initialize-tsig.bat.

Étape 4 : Mettre à jour httpd.conf.stub sur la passerelle indépendante

Vous devez mettre à jour le fichier httpd.conf.stub sur chaque serveur de passerelle indépendante. Le fichier httpd.conf.stub est utilisé pour amorcer la configuration httpd globale.

Le fichier de se trouve à l’emplacement suivant : TSIG_DATA/config/httpd.conf.stub.

1. Ouvrez le fichier httpd.conf.stub dans un éditeur de texte. Vous devez mettre à jour le bloc <VirtualHost *:${TSIG_HK_PORT}> avec les détails de configuration HK. L’exemple suivant montre les modifications requises :

   <VirtualHost *:${TSIG_HK_PORT}>
    SSLEngine on
    #TLS# SSLHonorCipherOrder on
    #TLS# SSLCompression off
    SSLCertificateFile /etc/ssl/certs/tsig-ssl.crt
    SSLCertificateKeyFile /etc/ssl/private/tsig-ssl.key
    SSLCACertificateFile /etc/ssl/certs/rootTS-CACert.pem 
   #TLS# SSLCARevocationFile /path/to/file
   </VirtualHost>				

   Remarques :

   • Par défaut, chaque ligne du bloc <VirtualHost *:${TSIG_HK_PORT}> est transformée en commentaire par la chaîne#TLS#. Pour « activer » une ligne dans le bloc, supprimez la chaîne #TLS# en début de ligne.
   • Comme pour toutes les configurations httpd, chaque fichier référencé nécessite un chemin absolu vers le fichier.
   • SSLCACertificateFile spécifie le certificat AC racine pour l’AC qui génère le certificat présenté par Tableau Server. Vous ne devez le définir que si le certificat TLS utilisé par Tableau Server est auto-signé ou généré par une PKI.

2. Arrêtez le service tsig-httpd.

   Vous commencerez à recevoir des vérifications d’état d’échec à ce stade, indiquant dans TSM que votre composant de passerelle indépendante est dégradé.

3. Copiez httpd.conf.stub vers httpd.conf.

   Le fichier httpd.conf est stocké dans le répertoire suivant. Remplacez le fichier httpd.conf par le fichier httpd.conf.stub.

4. Démarrez le service tsig-httpd.

   Vous continuerez à recevoir des vérifications d’état d’échec à ce stade, indiquant dans TSM que votre composant de passerelle indépendante est dégradé. Ces vérifications d’état échoueront jusqu’à ce que vous ayez terminé la configuration comme décrit dans les étapes suivantes.

Étape 5 : Définir les propriétés de configuration TLS sur Tableau Server

L’application des modifications de configuration nécessite un redémarrage du serveur. Pour éviter de longs délais d’attente, nous vous recommandons d’arrêter le serveur avant d’appliquer les modifications que vous définissez ici. À l’étape 6, vous exécuterez une commande de mise à jour, puis redémarrerez TSM. L’arrêt de TSM à cette phase de la configuration entraîne un temps d’arrêt plus court.

1. Arrêtez TSM. Exécutez la commande suivante :

   tsm stop

2. La plupart des clés de configuration TSM figurant dans le tableau suivant sont dérivées des directives Apache httpd. Ainsi, les valeurs de configuration de ces clés de configuration TSM correspondent directement aux valeurs valides de la directive Apache correspondante. Les liens vers les directives correspondantes sont inclus dans le tableau suivant.

   Il existe des noms de propriété de configuration TSM qui incluent le hk dans le préfixe : gateway.tsig.hk.xyz.abc. Si elles sont définies, ces valeurs sont utilisées pour la configuration HK TLS. Si elles ne sont pas définies, de nombreuses propriétés de configuration utiliseront la solution de secours pour gateway.tsig.xyz.abc, qui elles-mêmes peuvent ou non revenir à gateway.xyz.abc. La propriété de configuration de secours est répertoriée le cas échéant.

   Les options de configuration figurant dans le tableau suivant font référence aux clés de configuration que vous devez définir avec la commande tsm configuration set. Toutes les commandes doivent inclure l’option --force-keys. Par exemple :

   tsm configuration set -k gateway.tsig.hk.ssl.enabled -v true --force-keys

   Propriété de configuration	Description	Directive Apache correspondante
   gateway.tsig.hk.ssl.enabled (Pas de secours)	Obligatoire. Active TLS. Doit être défini sur true.	S.O.
   gateway.tsig.hk.ssl.cert.file_name Secours : gateway.tsig.ssl.cert.file_name	Chemin + nom du fichier de certificat pour la passerelle indépendante. Par exemple, /etc/ssl/certs/tsig-ssl.crt.	SSLCertificateFile(Le lien s’ouvre dans une nouvelle fenêtre)
   gateway.tsig.hk.ssl.key.file_name Secours : gateway.tsig.ssl.key.file_name	Chemin + nom du fichier de clé de certificat pour la passerelle indépendante. Par exemple, /etc/ssl/keys/tsig-ssl.key.	SSLCertificateKeyFile(Le lien s’ouvre dans une nouvelle fenêtre)
   gateway.tsig.ssl.key.passphrase.dialog (Propriété globale)	Si votre clé nécessite une phrase secrète, vous devez configurer cette clé avec la chaîne correcte attendue par la directive Apache httpd SSLPassPhraseDialog. Cette configuration est globale pour la passerelle indépendante.	SSLPassPhraseDialog(Le lien s’ouvre dans une nouvelle fenêtre)
   gateway.tsig.hk.ssl.protocols Secours : gateway.tsig.ssl.protocols ssl.protocols	Spécifiez les versions de SSL/TLS prises en charge. Consultez Liste de contrôle pour une sécurité renforcée pour plus d’informations sur la configuration par défaut.	SSLProtocols(Le lien s’ouvre dans une nouvelle fenêtre)
   gateway.tsig.hk.ssl.ciphersuite Secours : gateway.tsig.ssl.ciphersuite ssl.ciphersuite	Spécifie les chiffrements que le client est autorisé à négocier pour la connexion SSL.	SSLCipherSuite(Le lien s’ouvre dans une nouvelle fenêtre)
   gateway.tsig.hk.ssl.client_certificate_login.required (Pas de secours)	Définissez cette valeur sur true pour activer le TLS mutuel sur cette connexion. Vous devez également définir la propriété gateway.tsig.hk.ssl.cacert.file comme spécifié ci-dessous.	S.O.
   gateway.tsig.hk.ssl.cacert.file Secours : gateway.tsig.ssl.cacert.file	Spécifie le fichier contenant les certificats CA concaténés pour le processus d’authentification client.	SSLCACertificateFile(Le lien s’ouvre dans une nouvelle fenêtre)
   gateway.tsig.hk.ssl.revocation.file Secours : gateway.tsig.hk.ssl.revocation.file	Spécifie le fichier contenant les listes de révocation CA concaténées pour les clients qui se connectent à la passerelle indépendante.	SSLCARevocationFile(Le lien s’ouvre dans une nouvelle fenêtre)

3. Appliquez les modifications. Exécutez la commande suivante :

   tsm pending-changes apply.

Étape 6 : Mettre à jour le fichier de configuration JSON de la passerelle indépendante

La dernière étape consiste à mettre à jour la configuration de la passerelle indépendante avec un fichier JSON reflétant le passage à https et, le cas échéant, d’autres numéros de port.

Reportez-vous à la rubrique d’installation pour plus d’informations sur la modification de ce fichier. Consultez Étape 3 : Activer la passerelle indépendante dans Tableau Server.

Après avoir mis à jour le fichier JSON, exécutez la commande suivante :

tsm topology external-services gateway update -c tsig.json
tsm start

Résolution des problèmes

Pour obtenir des conseils de dépannage, consultez Dépannage de la passerelle indépendante de Tableau Server(Le lien s’ouvre dans une nouvelle fenêtre) dans le Guide de déploiement en entreprise (EDG). L’EDG fournit un exemple de déploiement de Tableau Server sous Linux. Les étapes de dépannage sont utiles pour les versions Windows ou Linux de Tableau Server.