Esempio: certificato SSL, generare una chiave e una richiesta di firma del certificato (CSR)


Importante: questo esempio mira a fornire indicazioni generali ai professionisti IT che hanno familiarità con i requisiti e la configurazione SSL. La procedura descritta in questo articolo è solo uno dei molti metodi disponibili che puoi utilizzare per generare i file richiesti. Il processo descritto in questo documento deve essere considerato come un esempio e non come suggerimento.

Quando configuri Tableau Server per utilizzare la crittografia SSL (Secure Sockets Layer) questo contribuisce a garantire che l’accesso al server sia sicuro e che i dati inviati tra Tableau Server e Tableau Desktop siano protetti.

Stai cercando Tableau Server su Linux? Consulta Esempio: certificato SSL, generare una chiave e una richiesta di firma del certificato (CSR)(Il collegamento viene aperto in una nuova finestra).

Tableau Server utilizza Apache, che include OpenSSL(Il collegamento viene aperto in una nuova finestra). Puoi utilizzare il toolkit OpenSSL per generare un file di chiave e una richiesta di firma del certificato (CSR) che possono quindi essere utilizzati per ottenere un certificato SSL firmato.

Nota: a partire dalle versioni 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 e successive, Tableau Server esegue OpenSSL 3.1.

Passaggi per generare una chiave e un certificato CSR

Per configurare Tableau Server per utilizzare SSL, devi disporre di un certificato SSL. Per ottenere il certificato SSL, seguendo le procedure seguenti puoi:

  1. Impostare la variabile dell’ambiente di configurazione di OpenSSL (facoltativo).
  2. Generare un file chiave.
  3. Creare una richiesta di firma del certificato (CSR).
  4. Inviare il CSR a un’autorità di certificazione (CA) per ottenere un certificato SSL.
  5. Utilizzare la chiave e il certificato per configurare Tableau Server per utilizzare SSL.

Puoi ottenere ulteriori informazioni nella pagina Domande frequenti su SSL(Il collegamento viene aperto in una nuova finestra) presente sul sito Web di Apache Software Foundation.

Configurare un certificato per più nomi di dominio

Tableau Server consente la tecnologia SSL per più domini. Per configurare questo ambiente devi modificare il file di configurazione di OpenSSL (openssl.conf) e configurare un certificato SAN (Subject Alternate Name) in Tableau Server. Vedi la sezione Per i certificati SAN: modificare il file di configurazione di OpenSSL riportata di seguito.

Impostare la variabile dell’ambiente di configurazione di OpenSSL (facoltativo)

Per evitare di utilizzare l’argomento -config in ogni utilizzo di openssl.exe, puoi utilizzare la variabile dell’ambiente OPENSSL_CONF per verificare che venga utilizzato il file di configurazione corretto e che tutte le modifiche apportate alle procedure successive in questo articolo producano i risultati previsti. Ad esempio: devi impostare la variabile dell’ambiente per aggiungere un SAN al certificato.

Apri un prompt dei comandi in qualità di amministratore ed esegui il seguente comando:

set OPENSSL_CONF=c:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\conf\openssl.cnf

Nota: quando imposti la variabile di ambiente di configurazione di OpenSSL, non racchiudere il percorso del file tra virgolette.

Generare un file chiave

Genera un file chiave che verrà utilizzato per generare una richiesta di firma del certificato.

  1. Apri il prompt dei comandi come amministratore e passa alla directory Apache di Tableau Server. Ad esempio, esegui il comando seguente:

    cd C:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\bin

  2. Esegui il comando seguente per creare un file chiave:

    openssl.exe genrsa -out <yourcertname>.key 4096

    Note:
    • Questo comando utilizza una chiave della lunghezza di 4096 bit. Ti consigliamo di scegliere una lunghezza di almeno 2048 bit perché la comunicazione crittografata con una lunghezza bit inferiore è meno sicura. Se non specifichi alcun valore, viene utilizzato 512 bit.
    • Per creare chiavi RSA PKCS#1 con Tableau Server 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 e versioni successive, devi utilizzare l’opzione aggiuntiva -traditional durante l’esecuzione del comando openssl genrsa basato su OpenSSL 3.1. Per maggiori informazioni sull’opzione, consulta https://www.openssl.org/docs/man3.1/man1/openssl-rsa.html(Il collegamento viene aperto in una nuova finestra).

Creare una richiesta di firma certificato da inviare a un’autorità di certificazione

Utilizza il file chiave creato nella procedura precedente per generare la richiesta di firma del certificato (CSR). Invia il certificato CSR a un’autorità di certificazione (CA) per ottenere un certificato firmato.

Importante: se desideri configurare un certificato SAN per utilizzare SSL con più domini, devi innanzitutto completare la procedura illustrata alla voce Per i certificati SAN: modificare il file di configurazione di OpenSSL di seguito, quindi riparti da questo punto per generare un certificato CSR.

  1. Esegui il comando seguente per creare un file di richiesta di firma del certificato (CSR):

    openssl.exe req -new -key yourcertname.key -out yourcertname.csr

    Se non hai impostato la variabile dell’ambiente di configurazione di OpenSSL OPENSSL_CONF, potresti visualizzare i messaggi seguenti:

    • Un messaggio di errore relativo alle informazioni sulla configurazione che non è possibile caricare. In questo caso, digita nuovamente il comando sopracitato con il parametro seguente: -config ..\conf\openssl.cnf.

    • Un avviso che informa che è impossibile trovare la directory /usr/local/ssl. Questa directory non esiste in Windows e puoi ignorare questo messaggio. La creazione del file è stata completata con successo.

    Per impostare una variabile dell’ambiente di configurazione di OpenSSL, vedi la sezione Impostare la variabile dell’ambiente di configurazione di OpenSSL (facoltativo) in questo articolo.

  2. Quando richiesto, immetti le informazioni necessarie.

    Nota: per Nome comune, digita il nome in Tableau Server. Il nome in Tableau Server è l’URL che verrà utilizzato per connettersi a Tableau Server. Ad esempio, se ti connetti a Tableau Server digitando tableau.example.com nella barra degli indirizzi del browser, il nome comune è tableau.example.com. Se il nome comune non viene risolto nel nome del server, si verificheranno degli errori nel momento in cui un browser o Tableau Desktop tenta di connettersi a Tableau Server.

Inviare il CSR a un’autorità di certificazione per ottenere un certificato SSL

Invia il certificato CSR a un’autorità di certificazione commerciale (CA) per richiedere il certificato digitale. Per informazioni, vedi l’articolo di Wikipedia Certificate authority(Il collegamento viene aperto in una nuova finestra) e gli articoli correlati che ti aiuteranno a decidere quale CA utilizzare.

Utilizzare la chiave e il certificato per configurare Tableau Server

Se disponi della chiave e del certificato della CA, puoi configurare Tableau Server per l’utilizzo di SSL. I passaggi sono riportati alla voce Configurare SSL esterno.

Per i certificati SAN: modificare il file di configurazione di OpenSSL

In un’installazione standard di OpenSSL alcune funzionalità non sono abilitate per impostazione predefinita. Per utilizzare SSL con più nomi di dominio, prima di generare il certificato CSR, completa questi passaggi per modificare il file openssl.cnf.

  1. Apri Explorer di Windows e vai alla cartella conf di Apache per Tableau Server.

    Ad esempio: C:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\conf

  2. Apri openssl.cnf in un editor di testo e cerca la linea seguente: req_extensions = v3_req

    È possibile che questa linea sia stata trasformata in un commento e presenti un cancelletto (#) all’inizio della linea.

    Se la linea è stata trasformata in un commento, eliminalo rimuovendo i caratteri # e lo spazio dall’inizio della linea.

  3. Passa alla sezione [ v3_req ] del file. Le prime linee contengono il testo seguente:

    # Extensions to add to a certificate request
    basicConstraints = CA:FALSE
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment

    Dopo la linea keyUsage inserisci la linea seguente:

    subjectAltName = @alt_names

    Se crei un certificato SAN autofirmato, esegui le operazioni seguenti per concedere l’autorizzazione per firmare il certificato:

    1. Aggiungi cRLSign e keyCertSign alla linea keyUsage in modo che sia simile alla seguente: keyUsage = nonRepudiation, digitalSignature, keyEncipherment, cRLSign, keyCertSign

    2. Dopo la linea keyUsage aggiungi la linea seguente: subjectAltName = @alt_names

  4. Nella sezione [alt_names] specifica i nomi di dominio che desideri utilizzare con SSL.

    DNS.1 = [domain1]
    DNS.2 = [domain2]
    DNS.3 = [etc]

    L’immagine seguente mostra i risultati evidenziati, con il testo segnaposto da sostituire con i nomi di dominio.

  5. Salva e chiudi il file.

  6. Completa la procedura descritta nella sezione Creare una richiesta di firma certificato da inviare a un’autorità di certificazione illustrata qui sopra.

Informazioni aggiuntive

Se preferisci utilizzare una versione diversa di OpenSSL, puoi scaricarla da Open SSL per Windows(Il collegamento viene aperto in una nuova finestra).

Torna in alto
Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!