Exemple : Certificat SSL - Générer une clé et une demande CSR

Important : cet exemple propose des conseils généraux aux professionnels informatiques maîtrisant les exigences et la configuration SSL. La procédure décrite dans cet article ne représente que l'une des nombreuses méthodes disponibles que vous pouvez utiliser pour générer les fichiers requis. Le processus décrit ici doit donc être traité comme un exemple, et non comme une recommandation.


Lorsque vous configurez Tableau Server de manière à utiliser le cryptage Secure Sockets Layer (SSL), vous avez l'assurance que l'accès au serveur est sécurisé et que les données envoyées entre Tableau Server et Tableau Desktop sont protégées.

Tableau Server utilise Apache, qui inclut OpenSSL(Link opens in a new window). Vous pouvez utiliser le kit d'outils OpenSSL pour générer un fichier clé et une demande de signature de certificat (CSR) qui peuvent ensuite être utilisés pour obtenir un certificat SSL signé.

Procédure de génération d'une clé et d'une demande CSR

Pour configurer Tableau Server de manière à ce qu'il utilise SSL, vous devez posséder un certificat SSL. Pour obtenir le certificat SSL, procédez comme suit :

  1. Définir la variable d'environnement de configuration OpenSSL (facultatif).
  2. Générer un fichier clé.
  3. Créer une demande de signature de certificat (CSR).
  4. Envoyer la demande CSR à une autorité de certification pour obtenir un certificat SSL.
  5. Utiliser la clé et le certificat pour configurer Tableau Server de manière à utiliser SSL.

Vous trouverez des informations supplémentaires dans la page de FAQ sur SSL(Link opens in a new window) sur le site Web de l'Apache Software Foundation.

Configurer un certificat pour plusieurs noms de domaine

Tableau Server autorise SSL pour plusieurs domaines. Pour configurer cet environnement, vous devez modifier le fichier de configuration OpenSSL, openssl.conf, et configurer un certificat SAN (Subject Alternative Name, ou nom alternatif du sujet) sur Tableau Server. Consultez Pour les certificats SAN : modifier le fichier de configuration OpenSSL ci-dessous.

Définir la variable d'environnement de configuration OpenSSL (facultatif)

Pour éviter d'utiliser l'argument -config avec chaque utilisation de openssl.exe, vous pouvez utiliser la variable d'environnement OPENSSL_CONF pour être sûr que le fichier de configuration correct est utilisé et que toutes les modifications de configuration apportées dans les procédures suivantes décrites dans cet article génèrent les résultats attendus (par exemple, vous devez configurer la variable d'environnement de manière à ajouter un SAN à votre certificat).

Ouvrez la fenêtre d'invite de commande en tant qu'administrateur et exécutez la commande suivante :

set OPENSSL_CONF=c:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\conf\openssl.cnf

Remarque : lorsque vous définissez la variable d'environnement de configuration Open SSL, ne mettez pas le chemin d’accès du fichier entre guillemets.

Générer une clé

Générez un fichier clé que vous utiliserez pour générer une demande de signature de certificat.

  1. Ouvrez une invite de commande en tant qu'administrateur et accédez au répertoire Apache pour Tableau Server. Par exemple, exécutez la commande suivante :

    cd C:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\bin

  2. Exécutez la commande suivante pour créer le fichier clé :

    openssl.exe genrsa -out <yourcertname>.key 4096

    Remarque : cette commande utilise une longueur de clé de 4096 bits. Vous devriez choisir une longueur de bits d'au moins 2048 bits parce que la communication cryptée avec une longueur de bits inférieure offre moins de sécurité. Si aucune valeur n'est fournie, 512 bits est utilisé.

Créer une demande de signature de certificat à envoyer à une autorité de certification

Utilisez le fichier clé que vous avez créé dans la procédure ci-dessus pour générer la demande de signature de certificat (CSR). Vous envoyez la demande CSR à une autorité de certification pour obtenir un certificat signé.

Important : si vous souhaitez configurer un certificat SAN pour utiliser SSL pour plusieurs domaines, complétez d'abord les étapes décrites dans Pour les certificats SAN : modifier le fichier de configuration OpenSSL ci-dessous, puis revenez ici pour générer une demande CSR.

  1. Exécutez la commande suivante pour créer un fichier de demande de signature de certificat (CSR) :

    openssl.exe req -new -key yourcertname.key -out yourcertname.csr

    Si vous n'avez pas défini la variable d'environnement de configuration OpenSSL, OPENSSL_CONF, l'un des messages suivants peut s'afficher :

    • Un message d'erreur relatif aux informations de configuration impossibles à charger. Dans ce cas, saisissez à nouveau la commande ci-dessus avec le paramètre suivant : -config ..\conf\openssl.cnf.

    • Un avertissement que le répertoire /usr/local/ssl est introuvable. Ce répertoire n'existe pas sur Windows, et vous pouvez simplement ignorer ce message. Le fichier a été créé avec succès.

    Pour définir une variable d'environnement de configuration OpenSSL, consultez la section Définir la variable d'environnement de configuration OpenSSL (facultatif) dans cet article.

  2. À l'invite, saisissez les informations requises.

    Remarque : pour Nom courant, entrez le nom de Tableau Server. Le nom de Tableau Server est l'URL qui sera utilisé pour accéder à Tableau Server. Par exemple, si vous accédez à Tableau Server en saisissant tableau.example.com dans la barre d'adresses de votre navigateur, tableau.example.com est le nom courant. Si le nom courant ne résout pas le nom du serveur, des erreurs se produisent lorsqu'un navigateur ou Tableau Desktop tente de se connecter à Tableau Server.

Envoyer la demande CSR à une autorité de certification pour obtenir un certificat SSL

Envoyez la demande CSR à une autorité de certification (CA) pour demander le certificat numérique. Pour des informations, consultez l'article de la Wikipedia Autorité de certification(Link opens in a new window) et tout article associé qui vous aidera à déterminer la CA à utiliser.

Utiliser la clé et le certificat pour configurer Tableau Server

Lorsque vous êtes en possession à la fois de la clé et du certificat de l'autorité de certification, vous pouvez configurer Tableau Server de manière à utiliser SSL. Consultez Configurer SSL externe pour connaître la procédure.

Pour les certificats SAN : modifier le fichier de configuration OpenSSL

Dans une installation standard d'OpenSSL, certaines fonctions ne sont pas activées par défaut. Pour utiliser SSL avec plusieurs noms de domaine, avant de générer la demande CSR, effectuez la procédure suivante pour modifier le fichier openssl.cnf.

  1. Ouvrez Windows Explorer et accédez au dossier Apache conf pour Tableau Server.

    Par exemple : C:\Program Files\Tableau\Tableau Server\<version_code>\apache\conf

  2. Ouvrez openssl.cnf dans un éditeur de texte et trouvez la ligne suivante : req_extensions = v3_req

    Cette ligne peut être commentée avec un signe dièse (#) au début de la ligne.

    Si la ligne est commentée, annulez le commentaire en supprimant les caractères # et space du début de la ligne.

  3. Accédez à la section [ v3_req ] du fichier. Les premières lignes contiennent le texte suivant :

    # Extensions to add to a certificate request
    basicConstraints = CA:FALSE
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment

    Après la ligne keyUsage, insérez la ligne suivante :

    subjectAltName = @alt_names

    Si vous créez un certificat SAN auto-signé, procédez ainsi pour donner au certificat l'autorisation de signer le certificat :

    1. Ajoutez cRLSign et keyCertSign à la ligne keyUsage pour qu'elle se présente ainsi : keyUsage = nonRepudiation, digitalSignature, keyEncipherment, cRLSign, keyCertSign

    2. Après la ligne keyUsage, insérez la ligne suivante : subjectAltName = @alt_names

  4. Dans la section [alt_names], indiquez les noms de domaine que vous souhaitez utiliser avec SSL.

    DNS.1 = [domain1]
    DNS.2 = [domain2]
    DNS.3 = [etc]

    L'image suivante montre les résultats en surbrillance, avec le texte d'espace réservé que vous devez remplacer par vos noms de domaine.

  5. Enregistrez et fermez le fichier.

  6. Effectuez la procédure décrite dans la section Créer une demande de signature de certificat à envoyer à une autorité de certification ci-dessus.

Informations supplémentaires

Si vous préférez utiliser une version différente d'OpenSSL, vous pouvez la télécharger depuis Open SSL pour Windows(Link opens in a new window).

Merci de vos commentaires ! Erreur lors de la soumission de votre commentaire. Réessayez ou envoyez-nous un message.