Guida di Tableau Server su Windows

Il supporto TLS per Gateway indipendente è in Tableau Server 2022.1.2 e versioni successive.

Sia Tableau Server sia Gateway indipendente Tableau Server utilizzano il modulo SSL (mod_ssl) creato con OpenSSL per implementare le funzionalità Transport Layer Security (TLS).

A causa della sua complessità e della natura sensibile alla sicurezza, consigliamo che la configurazione TLS sia pianificata e implementata da un professionista IT che abbia familiarità con TLS su Apache httpd.

In molti casi utilizziamo "SSL" nei nomi delle cose per la compatibilità con le proprietà o i concetti di configurazione httpd di TSM o Apache esistenti. "SSL" si riferisce in realtà a versioni di protocollo ora considerate insicure e obsolete. Tuttavia, il nome legacy persiste e viene spesso utilizzato convenzionalmente in modo intercambiabile con TLS. Tableau Server e Gateway indipendente non supportano i protocolli dell’era SSL.

Esempio di configurazione TLS

Per un esempio di configurazione TLS end-to-end, consulta Configurare SSL/TLS dal servizio di bilanciamento del carico a Tableau Server(Il collegamento viene aperto in una nuova finestra) nella Guida alla distribuzione aziendale per le organizzazioni di grandi dimensioni. L’argomento illustra un esempio dettagliato relativo alla configurazione di TLS in Tableau Server su Linux in una distribuzione AWS. Sebbene l’esempio descriva il processo per Linux, l’esempio di configurazione è utile anche per Tableau Server su Windows.

Panoramica della configurazione TLS

Puoi configurare TLS per HTTPS su una qualsiasi delle seguenti sezioni del percorso da Internet a Tableau Server:

• Dalla rete esterna (bilanciamento del carico Internet o front-end) a Gateway indipendente
• Da Gateway indipendente a Tableau Server
• Per il processo di pulizia da Tableau Server a Gateway indipendente
  

Questo argomento fornisce le procedure per configurare ciascuno di questi hop.

Dovrai apportare delle modifiche alla configurazione dei computer di Gateway indipendente e al cluster di Tableau Server.

Requisiti e considerazioni per il certificato

I requisiti del certificato per Gateway indipendente sono gli stessi specificati per "SSL esterno" di Tableau Server. Consulta Requisiti del certificato SSL.

Altre considerazioni:

• Per semplificare la gestione e la distribuzione dei certificati e come procedura consigliata per la sicurezza, consigliamo di utilizzare i certificati generati da una delle principali autorità di certificazione (CA) di terze parti affidabili. In alternativa, puoi generare certificati autofirmati o utilizzare i certificati di un’infrastruttura a chiave pubblica per TLS. In questo caso, presta attenzione alle opzioni di configurazione per l’attendibilità dei certificati CA e per la convalida dei certificati.
• Se l’implementazione richiede l’uso di un file della catena di certificati, consulta l’articolo della Knowledge Base Configurare TLS su gateway indipendente quando si usa un certificato con una catena di certificati(Il collegamento viene aperto in una nuova finestra).
• Se stai eseguendo più istanze di Gateway indipendente devi distribuire i certificati a ciascun computer nella stessa posizione (percorso del file).
• Se stai eseguendo una distribuzione di Tableau Server con più di un nodo, i certificati che carichi con i comandi TSM vengono distribuiti automaticamente tra i nodi. Esegui tutti i comandi TSM sul nodo iniziale.

Configurazioni TLS globali

Le seguenti configurazioni sono globali. Le opzioni di configurazione seguenti si riferiscono alle chiavi di configurazione che devono essere impostate con il comando tsm configuration set. I comandi devono includere l’opzione --force-keys.

È improbabile che tu debba cambiare tali valori.

Tieni presente che ogni coppia di chiavi condivide lo stesso formato di denominazione, dove la stringa tsig imposta il valore per Gateway indipendente. La chiave che non include la stringa tsig imposta il valore per il processo del gateway nel cluster di Tableau Server.

Se non imposti un valore per la chiave tsig, verrà utilizzato il valore predefinito del gateway di Tableau Server.

gateway.tsig.httpd.socache oppure gateway.httpd.socache

Per impostazione predefinita: shmcb

Valore alternativo: dbm

Il tipo di archiviazione della cache di sessione SSL tra i processi. Per maggiori informazioni sui tipi di archiviazione shmcb e dbm, consulta SSLSessionCache Directive(Il collegamento viene aperto in una nuova finestra) sul sito web di Apache.

gateway.tsig.httpd.shmcb.size oppure gateway.httpd.shmcb.size

Per impostazione predefinita: 2048000

Quantità di memoria, in byte, da utilizzare per il buffer circolare durante l’utilizzo del tipo di archiviazione shmcb.

Nota: un’altra chiave globale è gateway.tsig.ssl.key.passphrase.dialog. Se applicabile, esiste una sola configurazione per gateway.tsig.ssl.key.passphrase.dialog. Per progettazione, raccoglie le passphrase per tutti i file di chiavi private crittografate nella configurazione. Le sezioni applicabili più avanti in questo argomento descrivono l’uso di questa chiave.

Dal TLS esterno a Gateway indipendente

Il processo di configurazione delle connessioni esterne per terminare TLS sui server di Gateway indipendente è concettualmente simile alla configurazione di "SSL esterno" per un cluster di Tableau Server. La meccanica è diversa. TSM non distribuisce automaticamente il certificato e il materiale delle chiavi ai nodi di Gateway indipendente. Inoltre Gateway indipendente non fornisce automaticamente un modo per fornire la passphrase della chiave TLS opzionale all’avvio.

Le fasi seguenti descrivono come configurare TLS da un’origine esterna ai computer di Gateway indipendente.

Fase 1: distribuire i file ai computer di Gateway indipendente

1. Colloca i certificati e i file correlati in una posizione e con autorizzazioni che consentano al servizio Gateway indipendente (tsig-httpd) di leggerli. È consigliabile limitare l’accesso ai file chiave in modo che solo il servizio Gateway indipendente possa leggerli.
2. Colloca tutti i file, i certificati e le chiavi esattamente nelle stesse posizioni in tutti i computer di Gateway indipendente. Posiziona i file al di fuori dei percorsi TSIG_INSTALL e TSIG_DATA in modo che non vengano rimossi se reinstalli o aggiorni Gateway indipendente.

Fase 2: aggiornare le variabili di ambiente nei computer di Gateway indipendente

In ciascun computer di Gateway indipendente, imposta le variabili di ambiente TSIG_PORT e TSIG_PROTOCOL rispettivamente su 443 (per convenzione, ma è supportato qualsiasi numero di porta TCP non utilizzato) e https.

Modifica questi valori eseguendo nuovamente lo script di post-installazione per fornire un valore diverso per TSIG_PORT e TSIG_PROTOCOL. Per impostazione predefinita, lo script è disponibile in C:\Program Files\Tableau\Tableau Server\independentgateway\scripts\initialize-tsig.bat.

Fase 3: impostare le proprietà di configurazione TLS su Tableau Server

La maggior parte delle chiavi di configurazione TSM nella tabella seguente derivano dalle direttive httpd di Apache. Pertanto i valori di configurazione per queste chiavi di configurazione TSM vengono mappati direttamente ai valori validi per la corrispondente direttiva Apache. I collegamenti alle direttive corrispondenti sono inclusi nella tabella seguente.

In alcuni casi, se non è impostata una chiave particolare, la configurazione utilizzerà le configurazioni di fallback. Queste sono indicate nella tabella seguente.

Le opzioni di configurazione nella tabella seguente si riferiscono alle chiavi di configurazione che è necessario impostare con il comando tsm configuration set. Tutti i comandi devono includere l’opzione --force-keys. Ad esempio:

tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys

Dopo aver impostato le chiavi di configurazione devi eseguire tsm pending-changes apply.

Da Gateway indipendente a Tableau Server

Questa sezione descrive come crittografare la connessione tra Gateway indipendente e Tableau Server.

Fase 1: configurare e abilitare TLS su Tableau Server

Consulta Configurare SSL per il traffico HTTP esterno da e verso Tableau Server.

Tieni presente che "SSL" è in realtà un’implementazione TLS e che "esterno" si riferisce a una connessione esterna a Tableau Server. In questo scenario, Gateway indipendente è la connessione "esterna".

Ti consigliamo di abilitare e verificare che i client possano connettersi con TLS direttamente a Tableau Server prima di configurare Gateway indipendente.

Fase 2: distribuire i file del certificato sui computer di Gateway indipendente

Sarà necessario distribuire i file del certificato sui computer di Gateway indipendente se si verifica una delle seguenti condizioni:

• Stai utilizzando certificati autofirmati o PKI per i certificati TLS nella distribuzione di Tableau Server.
• Stai abilitando il TLS reciproco sulla connessione da Gateway indipendente a Tableau Server.
  

Come per tutti i file relativi a TLS sui computer di Gateway indipendente, è necessario inserire i file negli stessi percorsi su ciascun computer. Anche tutti i nomi dei file condivisi TLS devono essere gli stessi.

Fase 3: impostare le proprietà di configurazione TLS su Tableau Server

La maggior parte delle chiavi di configurazione TSM nella tabella seguente derivano dalle direttive httpd di Apache. Pertanto i valori di configurazione per queste chiavi di configurazione TSM vengono mappati direttamente ai valori validi per la corrispondente direttiva Apache. I collegamenti alle direttive corrispondenti sono inclusi nella tabella seguente.

In alcuni casi, se non è impostata una chiave particolare, la configurazione utilizzerà le configurazioni di fallback. Queste sono indicate nella tabella seguente.

Le opzioni di configurazione nella tabella seguente si riferiscono alle chiavi di configurazione che è necessario impostare con il comando tsm configuration set. Tutti i comandi devono includere l’opzione --force-keys. Ad esempio:

tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys

Dopo aver impostato le chiavi di configurazione devi eseguire tsm pending-changes apply.

Fase 4: caricare il certificato CA radice su Tableau Server

Se il certificato TLS in uso nei computer di Gateway indipendente è un certificato autofirmato o generato da PKI, devi eseguire questa fase aggiuntiva. Se il certificato TLS in uso nel computer di Gateway indipendente è di un’autorità di certificazione di terze parti attendibile, puoi saltare questa fase.

Copia il certificato CA radice utilizzato per i computer di Gateway indipendente nel nodo iniziale di Tableau Server, quindi esegui i seguenti comandi:

tsm security custom-cert add -c <root-certificate-file-name>.pem
tsm pending-changes apply

Connessione per la pulizia fra Tableau Server e Gateway indipendente

Il processo di pulizia mantiene lo stato di configurazione tra la distribuzione back-end di Tableau Server e Gateway indipendente.

Quando è installato Gateway indipendente, la configurazione predefinita fornisce una connessione HTTP non crittografata. Gateway indipendente è in ascolto delle richieste di pulizia provenienti dal cluster di Tableau Server (come definito durante l’installazione).

Se stai eseguendo più istanze di Gateway indipendente, tutti i server devono accettare le richieste di pulizia con TLS o tutte senza TLS. Questa sezione descrive come configurare la connessione di pulizia per TLS. Questo processo richiede il riavvio di Tableau Server per cui comporta dei tempi di inattività.

Come per i precedenti scenari TLS descritti sopra, molte delle modifiche alla configurazione per la connessione di pulizia sono impostate sulle proprietà di configurazione gestite dal cluster di Tableau Server. Tuttavia, la configurazione di pulizia TLS richiede delle fasi aggiuntive su Gateway indipendente.

Fase 1: distribuire i file ai computer di Gateway indipendente

Se hai abilitato TLS con rete esterna e Gateway indipendente, puoi utilizzare lo stesso certificato e gli stessi file chiave per la connessione di pulizia.

Se utilizzi le stesse risorse, l’unico altro file di certificato che devi distribuire è il certificato CA radice per il certificato utilizzato da Tableau Server. Se il certificato TLS presentato da Tableau Server è generato da una CA di terze parti attendibile, non è necessario copiare un certificato CA radice sui computer di Gateway indipendente.

1. Colloca i certificati e i file correlati in una posizione e con autorizzazioni che consentano al servizio Gateway indipendente (tsig-httpd) di leggerli. È consigliabile limitare l’accesso ai file chiave in modo che solo il servizio Gateway indipendente possa leggerli.
2. Colloca tutti i file, i certificati e le chiavi esattamente nelle stesse posizioni in tutti i computer di Gateway indipendente.

Fase 2: importare il certificato CA radice di Gateway indipendente nell’archivio attendibilità di Tableau Server

Se il certificato TLS in uso nei computer di Gateway indipendente è un certificato autofirmato o generato da PKI, devi eseguire questa fase aggiuntiva. Se il certificato TLS in uso nel computer di Gateway indipendente è di un’autorità di certificazione di terze parti attendibile, puoi saltare questa fase.

Puoi caricare su Tableau Server solo un certificato CA radice. Pertanto, se hai già caricato un certificato CA radice, lo stesso certificato CA radice deve firmare il certificato che utilizzerai per la connessione di pulizia.

Copia il certificato CA radice utilizzato per i computer di Gateway indipendente nel nodo iniziale di Tableau Server, quindi esegui i seguenti comandi:

tsm security custom-cert add -c <root-certificate-file-name>.pem
tsm pending-changes apply

Fase 3: aggiornare le variabili di ambiente nei computer di Gateway indipendente

In ciascun computer di Gateway indipendente, imposta la variabile d’ambente TSIG_HK_PROTOCOL su https. Puoi specificare una porta alternativa per la pulizia (l’impostazione predefinita è 21319) impostando anche la variabile d’ambiente TSIG_HK_PORT.

Modifica questi valori eseguendo nuovamente lo script di post-installazione per fornire un valore diverso per TSIG_HK_PROTOCOL e TSIG_HK_PORT. Per impostazione predefinita, lo script è disponibile in C:\Program Files\Tableau\Tableau Server\independentgateway\scripts\initialize-tsig.bat.

Fase 4: aggiornare httpd.conf.stub in Gateway indipendente

Devi aggiornare il file httpd.conf.stub in ciascun server di Gateway indipendente. Il file httpd.conf.stub viene utilizzato per eseguire il seeding della configurazione httpd globale.

Il file si trova in TSIG_DATA/config/httpd.conf.stub.

1. Apri il file httpd.conf.stub in un editor di testo. Devi aggiornare il blocco <VirtualHost *:${TSIG_HK_PORT}> con i dettagli della configurazione di pulizia. L’esempio seguente mostra le modifiche necessarie:

   <VirtualHost *:${TSIG_HK_PORT}>
    SSLEngine on
    #TLS# SSLHonorCipherOrder on
    #TLS# SSLCompression off
    SSLCertificateFile /etc/ssl/certs/tsig-ssl.crt
    SSLCertificateKeyFile /etc/ssl/private/tsig-ssl.key
    SSLCACertificateFile /etc/ssl/certs/rootTS-CACert.pem 
   #TLS# SSLCARevocationFile /path/to/file
   </VirtualHost>				

   Note:

   • per impostazione predefinita, ogni riga nel blocco <VirtualHost *:${TSIG_HK_PORT}> è commentata dalla stringa #TLS#. Per "abilitare" una riga nel blocco, elimina la stringa #TLS# all’inizio della riga.
   • Come per tutte le configurazioni httpd, ogni file di riferimento richiede un percorso assoluto del file.
   • SSLCACertificateFile specifica il certificato CA radice per la CA che genera il certificato presentato da Tableau Server. Devi impostarlo solo se il certificato TLS utilizzato da Tableau Server è autofirmato o generato da una PKI.

2. Arresta il servizio tsig-httpd.

   A questo punto inizierai a ricevere dei controlli di stato non riusciti, a indicazione del fatto che che il componente Gateway indipendente in TSM è danneggiato.

3. Copia httpd.conf.stub in httpd.conf.

   Il file httpd.conf si trova nella stessa directory. Sovrascrivi il file httpd.conf con il file httpd.conf.stub.

4. Avvia il servizio tsig-httpd.

   A questo punto continuerai a ricevere dei controlli di stato non riusciti, a indicazione del fatto che che il componente Gateway indipendente in TSM è danneggiato. Questi controlli di stato avranno esito negativo finché non avrai completato la configurazione come descritto nelle fasi seguenti.

Fase 5: impostare le proprietà di configurazione TLS su Tableau Server

L’applicazione delle modifiche alla configurazione richiede il riavvio del server. Per evitare lunghi tempi di inattività, ti consigliamo di arrestare il server prima di applicare le modifiche impostate qui. Nella fase 6 esegui un comando di aggiornamento e poi riavvia TSM. L’arresto di TSM in questa fase della configurazione comporta un tempo di inattività più breve.

1. Arresta TSM. Esegui questo comando:

   tsm stop

2. La maggior parte delle chiavi di configurazione TSM nella tabella seguente derivano dalle direttive httpd di Apache. Pertanto i valori di configurazione per queste chiavi di configurazione TSM vengono mappati direttamente ai valori validi per la corrispondente direttiva Apache. I collegamenti alle direttive corrispondenti sono inclusi nella tabella seguente.

   Esistono dei nomi di proprietà di configurazione TSM che includono il nodo hk nel prefisso: gateway.tsig.hk.xyz.abc. Se impostati, questi valori vengono utilizzati per la configurazione di pulizia TLS. Se non sono impostati, molte proprietà di configurazione utilizzeranno il fallback a gateway.tsig.xyz.abc, che a sua volta potrebbero o meno eseguire il fallback a gateway.xyz.abc. La proprietà di configurazione di fallback è elencata quando pertinente.

   Le opzioni di configurazione nella tabella seguente si riferiscono alle chiavi di configurazione che è necessario impostare con il comando tsm configuration set. Tutti i comandi devono includere l’opzione --force-keys. Ad esempio:

   tsm configuration set -k gateway.tsig.hk.ssl.enabled -v true --force-keys

   Proprietà di configurazione	Descrizione	Direttiva Apache corrispondente
   gateway.tsig.hk.ssl.enabled (Nessun fallback)	Obbligatorio. Abilita TLS. Deve essere impostata su true.	Non applicabile
   gateway.tsig.hk.ssl.cert.nome_file Fallback: gateway.tsig.ssl.cert.nome_file	Percorso + nome del file del certificato per Gateway indipendente. Ad esempio, /etc/ssl/certs/tsig-ssl.crt.	SSLCertificateFile(Il collegamento viene aperto in una nuova finestra)
   gateway.tsig.hk.ssl.key.nome_file Fallback: gateway.tsig.ssl.key.nome_file	Percorso + nome del file della chiave del certificato per Gateway indipendente. Ad esempio, /etc/ssl/keys/tsig-ssl.key.	SSLCertificateKeyFile(Il collegamento viene aperto in una nuova finestra)
   gateway.tsig.ssl.key.passphrase.dialog (Proprietà globale)	Se la tua chiave richiede una passphrase, devi configurare questa chiave con la stringa corretta prevista dalla direttiva Apache httpd SSLPassPhraseDialog. Questa configurazione è globale per Gateway indipendente.	SSLPassPhraseDialog(Il collegamento viene aperto in una nuova finestra)
   gateway.tsig.hk.ssl.protocols Fallback: gateway.tsig.ssl.protocols ssl.protocols	Specifica le versioni supportate di SSL/TLS. Per maggiori informazioni sulla configurazione predefinita, consulta Checklist per il miglioramento della sicurezza.	SSLProtocols(Il collegamento viene aperto in una nuova finestra)
   gateway.tsig.hk.ssl.ciphersuite Fallback: gateway.tsig.ssl.ciphersuite ssl.ciphersuite	Specifica i codici che il client può negoziare per la connessione SSL.	SSLCipherSuite(Il collegamento viene aperto in una nuova finestra)
   gateway.tsig.hk.ssl.client_certificate_login.required (Nessun fallback)	Imposta questo valore su true per abilitare il TLS reciproco su questa connessione. Devi anche impostare la proprietà gateway.tsig.hk.ssl.cacert.file come di seguito specificato.	Non applicabile
   gateway.tsig.hk.ssl.cacert.file Fallback: gateway.tsig.ssl.cacert.file	Specifica il file contenente i certificati CA concatenati per il processo di autenticazione del client.	SSLCACertificateFile(Il collegamento viene aperto in una nuova finestra)
   gateway.tsig.hk.ssl.revocation.file Fallback: gateway.tsig.hk.ssl.revocation.file	Specifica il file contenente gli elenchi di revoche CA concatenati per i client che si connettono a Gateway indipendente.	SSLCARevocationFile(Il collegamento viene aperto in una nuova finestra)

3. Applica le modifiche. Esegui questo comando:

   tsm pending-changes apply.

Fase 6: aggiornare il file di configurazione JSON di Gateway indipendente

La fase finale consiste nell’aggiornare la configurazione di Gateway indipendente con un file JSON che riflette il passaggio a https e, se applicabile, altri numeri di porta.

Fai riferimento all’argomento dell’installazione per maggiori informazioni sulla modifica di questo file. Consulta Fase 3. Abilitare Gateway indipendente in Tableau Server .

Dopo aver aggiornato il file JSON, esegui i comandi seguenti:

tsm topology external-services gateway update -c tsig.json
tsm start

Risoluzione dei problemi

Per i suggerimenti relativi alla risoluzione dei problemi, consulta Risoluzione dei problemi del Gateway indipendente di Tableau Server(Il collegamento viene aperto in una nuova finestra) nella Guida alla distribuzione aziendale per le organizzazioni di grandi dimensioni. La Guida alla distribuzione aziendale per le organizzazioni di grandi dimensioni fornisce un esempio di distribuzione di Tableau Server su Linux. La procedura per la risoluzione dei problemi è utile per le versioni Windows o Linux di Tableau Server.