TSM コントローラーのカスタム SSL 証明書の設定

Tableau Server 管理コントローラー (コントローラーとも呼びます) は、Tableau Server クラスターに対する変更を管理するための管理コンポーネントです。デフォルトでは、コントローラーは Tableau Server クラスターの初期ノードで実行されます。単一の Tableau クラスター展開で複数のコントローラーを実行することは技術的に可能ですが、推奨される方法ではありません。

コントローラーには、TSM CLI、TSM Web クライアント、REST クライアント (curl、postman) などのさまざまなクライアントで管理できる API が含まれています。これらのクライアントを使用して、Tableau Server 管理者はサーバー クラスターの構成を変更できます。コントローラーは、Zookeeper と共に、ノード全体の構成変更を管理および実行します。

デフォルトの TSM SSL 機能

注: TLS で HTTPS トラフィックを保護することを指す場合でも、慣例に従って「SSL」という用語を使用しています。

デフォルトでは、クライアント接続は、自己署名証明書による SSL で暗号化されます。この証明書は、セットアップ時に Tableau Server が作成したものであり、コントローラーが更新を行います。暗号化に加えて、SSL ハンドシェイク時にこの証明書で提示されたサブジェクト名に対して、コントローラーのホスト マシンの ID (ホスト名または IP) の検証が行われます。ただし、証明書は自己署名であるため、証明書の信頼性は絶対的ではありません。

コントローラーへの CLI 接続の場合、中間者攻撃では通常、プライベート ネットワーク内で Tableau Server クラスターへの悪意のあるユーザー アクセスが必要になるため、証明書を完全に信頼できないことは重大なセキュリティ リスクではありません。CLI シナリオで悪意のあるユーザーがコントローラーの証明書を偽装できるのであれば、悪意のあるユーザーはすでに「王国への鍵」を持っていることになります。

ただし、内部ネットワークの外から TSM Web UI 経由で管理者がコントローラーに接続するシナリオでは、信頼された認証局によるホストの検証が欠如していると、セキュリティ リスクが大きくなります。

最近まで、Windows マシンで TSM Web UI を実行しているお客様は、Windows の信頼できるルート ストアに Tableau Server CA 証明書を配置できました。ほとんどのブラウザーは、この設定を頼りにして証明書の信頼を検証していました。現在では、Chrome は、OS の信頼できるストアに配置されている自己署名証明書をもう検証 (信頼) しなくなりました。Chrome (およびほとんどの主要なブラウザー) は、信頼できるサード パーティのルート CA にチェーン バックする証明書のみを信頼します。

Tableau Server v2023.1 SSL カスタム証明書

カスタム SSL TSM 証明書の機能は、管理者が TSM コントローラーを構成する際、信頼できるサード パーティのルート CA にチェーン バックする ID 証明書を使用することで、信頼のギャップを埋めます。

理解しておくべき重要な詳細がいくつかあります。

  • TSM カスタム SSL 証明書の信頼は、TSM Web UI との接続時に検証されます。
  • TSM CLI シナリオでは、信頼の検証は試行されません。前述のように、CLI シナリオでの「中間者」攻撃には、起こりそうなリスクはありません。
  • 証明書チェーンは設定に含めることができます。チェーンは、中間 CA によって署名されたすべての証明書を提示できます。チェーンは任意の位置で切れる可能性があり、チェーンにない証明書は、オペレーティング システムのトラスト ストアにインストールされていると見なされます。

設定

TSM の SSL カスタム証明書を設定する (または更新する) には、TSM CLI を使用する必要があります。

tsm security custom-tsm-ssl enable を参照してください。