TLS configureren op onafhankelijke gateway

TLS-ondersteuning voor onafhankelijke gateway is beschikbaar in Tableau Server 2022.1.2 en later.

Zowel Tableau Server als Onafhankelijke gateway van Tableau Server gebruiken de SSL-module (mod_ssl) die is gebouwd met OpenSSL om Transport Layer Security (TLS)-functies te implementeren.

Vanwege de complexiteit en het beveiligingsgevoelige karakter van TLS adviseren wij u om de TLS-configuratie te laten plannen en implementeren door een IT-professional die bekend is met TLS op Apache httpd.

In veel gevallen gebruiken we 'SSL' in de namen van dingen vanwege de compatibiliteit met bestaande TSM- of Apache httpd-configuratie-eigenschappen of -concepten. 'SSL' verwijst eigenlijk naar protocolversies die nu als onveilig en verouderd worden beschouwd. De oude naam blijft echter bestaan en wordt vaak als synoniem voor TLS gebruikt. Tableau Server en onafhankelijke gateway ondersteunen geen SSL-protocollen.

TLS-configuratievoorbeeld

Zie SSL/TLS configureren van Load Balancer naar Tableau Server(Link wordt in een nieuw venster geopend) in de Gids voor bedrijfsbrede implementatie voor een end-to-end TLS-configuratievoorbeeld. Het onderwerp toont een stapsgewijs voorbeeld van het configureren van TLS op Tableau Server op Linux in een AWS-implementatie. Hoewel het voorbeeld het proces voor Linux beschrijft, is het configuratievoorbeeld ook nuttig voor Tableau Server op Windows.

TLS-configuratieoverzicht

U kunt TLS voor HTTPS configureren op een van de volgende secties van het internet-naar-Tableau Server-pad:

  • Van het externe netwerk (internet of front-end loadbalancer) naar onafhankelijke gateway
  • Van onafhankelijke gateway naar Tableau Server
  • Voor Housekeeping (HK)-proces van Tableau Server naar Onafhankelijke gateway

In dit onderwerp worden procedures beschreven voor het configureren van elk van deze hops.

U moet configuratiewijzigingen aanbrengen op de onafhankelijke gateway-computers en in het Tableau Server-cluster.

Certificaatvereisten en overwegingen

De certificaatvereisten voor de onafhankelijke gateway zijn gelijk aan die voor Tableau Server 'externe SSL'. Zie Vereisten voor SSL-certificaatbestand.

Andere overwegingen:

  • Om certificaatbeheer en -implementatie te vereenvoudigen en als best practice voor de beveiliging, raden we aan om certificaten te gebruiken die zijn gegenereerd door een grote, vertrouwde externe certificeringsinstantie (CA). U kunt er ook voor kiezen om zelfondertekende certificaten te genereren of certificaten van een PKI voor TLS te gebruiken. Let in dat geval op de configuratieopties voor het vertrouwen van CA-certificaten en het valideren van certificaten.
  • Hebt u voor uw implementatie van een certificaatketenbestand nodig? Raadpleeg dan het Knowledge Base-artikel TLS configureren op onafhankelijke gateway bij gebruik van een certificaat met een certificaatketen(Link wordt in een nieuw venster geopend).
  • Als u meerdere instanties van onafhankelijke gateway uitvoert, moet u certificaten naar elke computer op dezelfde locatie (bestandspad) distribueren.
  • Als u een Tableau Server-implementatie met meer dan één knooppunt uitvoert, worden certificaten die u uploadt met TSM-opdrachten automatisch over de knooppunten verdeeld. Voer alle TSM-opdrachten uit op het eerste knooppunt.

Globale TLS-configuraties

De volgende configuraties zijn globaal. De onderstaande configuratieopties hebben betrekking op configuratiesleutels die moeten worden ingesteld met de opdracht tsm configuration set. De opdrachten moeten de --force-keys-optie bevatten.

Het is onwaarschijnlijk dat u deze waarden hoeft te wijzigen.

Houd er rekening mee dat elk sleutelpaar dezelfde naamgevingsindeling heeft, waarbij de tekenreeks, tsig, de waarde instelt voor de onafhankelijke gateway. De sleutel die de tekenreeks, tsig, niet bevat, stelt de waarde in voor het gatewayproces op het Tableau Server-cluster.

Als u geen waarde instelt voor de tsig-sleutel, dan wordt de standaardgatewaywaarde van Tableau Server gebruikt.

gateway.tsig.httpd.socache of gateway.httpd.socache

Standaard: shmcb

Alternatieve waarde: dbm

Het opslagtype van de SSL-sessiecache tussen processen. Zie SSLSessionCache-richtlijn(Link wordt in een nieuw venster geopend) op de Apache-website voor meer informatie over de opslagtypen shmcb en dbm.

gateway.tsig.httpd.shmcb.size of gateway.httpd.shmcb.size

Standaard: 2048000

Omvang van het geheugen, in bytes, dat gebruikt wordt voor de circulaire buffer bij gebruik van het opslagtype shmcb.

Opmerking: Een andere globale sleutel is gateway.tsig.ssl.key.passphrase.dialog. Indien van toepassing is er slechts één configuratie voor gateway.tsig.ssl.key.passphrase.dialog. Deze is zo ontworpen dat het wachtwoordzinnen verzamelt voor alle gecodeerde bestanden met privésleutels in de configuratie. In de toepasselijke paragrafen verderop in dit artikel wordt het gebruik van deze sleutel beschreven.

Externe TLS naar onafhankelijke gateway

Het proces voor het configureren van externe verbindingen om TLS op de onafhankelijke gateway-servers te beëindigen, is qua concept vergelijkbaar met de manier waarop 'externe SSL' wordt geconfigureerd voor een Tableau Server-cluster. De mechanismen zijn anders. TSM distribueert niet automatisch certificaat- en sleutelmateriaal naar onafhankelijke gateway-knooppunten. Bovendien biedt onafhankelijke gateway niet automatisch een manier om de optionele TLS-sleutelwachtwoordzin bij het opstarten te verstrekken.

De volgende stappen beschrijven hoe u TLS configureert van een externe bron naar onafhankelijke gateway-computers.

Stap 1: distribueer bestanden naar de onafhankelijke gateway-computers

  1. Plaats certificaten en bijbehorende bestanden op een locatie en met machtigingen waarmee de onafhankelijke gateway-service (tsig-httpd) ze kan lezen. Wij adviseren de toegang tot de sleutelbestanden te beperken, zodat alleen de onafhankelijke gateway-service deze kan lezen.
  2. Plaats alle bestanden, certificaten en sleutels op exact dezelfde locaties op alle onafhankelijke gateway-computers. Plaats de bestanden buiten de paden TSIG_INSTALL en TSIG_DATA, zodat ze niet worden verwijderd als u de onafhankelijke gateway opnieuw installeert of upgradet.

Stap 2: omgevingsvariabelen op onafhankelijke gateway-computers bijwerken

Stel op elke onafhankelijke gateway-computer de omgevingsvariabelen TSIG_PORT en TSIG_PROTOCOL in op 443 (volgens afspraak, maar elk ongebruikt TCP-poortnummer wordt ondersteund) en https respectievelijk.

Wijzig deze waarden door het post-installatiescript opnieuw uit te voeren om een andere waarde voor TSIG_PORT en TSIG_PROTOCOL op te geven. Standaard staat het script in C:\Program Files\Tableau\Tableau Server\independentgateway\scripts\initialize-tsig.bat.

Stap 3: TLS-configuratie-eigenschappen in Tableau Server instellen

De meeste TSM-configuratiesleutels in de volgende tabel zijn afgeleid van Apache httpd-adresseringen. Als zodanig worden de configuratiewaarden voor deze TSM-configuratiesleutels rechtstreeks toegewezen aan de geldige waarden voor de overeenkomstige Apache-adressering. In de volgende tabel vindt u links naar de bijbehorende adresseringen.

In sommige gevallen maakt de configuratie gebruik van terugvalconfiguraties als een bepaalde sleutel niet is ingesteld. Deze worden in de onderstaande tabel weergegeven.

De configuratieopties in de volgende tabel hebben betrekking op configuratiesleutels die u moet instellen met de opdracht tsm configuration set. Alle opdrachten moeten de --force-keys-optie bevatten. Bijvoorbeeld:

tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys

Nadat u de configuratiesleutels hebt ingesteld, moet u tsm pending-changes apply uitvoeren.

Configuratie-eigenschapBeschrijvingOvereenkomstige Apache-adressering
gateway.tsig.ssl.enabled

Vereist.

Schakelt TLS in. Moet worden ingesteld op true.

N.v.t.
gateway.tsig.ssl.cert.file_name

Vereist.

Pad + bestandsnaam van het certificaatbestand voor onafhankelijke gateway. Bijvoorbeeld /etc/ssl/certs/tsig-ssl.crt.

SSLCertificateFile(Link wordt in een nieuw venster geopend)
gateway.tsig.ssl.key.file_name

Vereist.

Pad + bestandsnaam van de certificaatsleutel voor onafhankelijke gateway. Bijvoorbeeld /etc/ssl/keys/tsig-ssl.key.

SSLCertificateKeyFile(Link wordt in een nieuw venster geopend)
gateway.tsig.ssl.key.passphrase.dialogAls voor uw sleutel een wachtwoordzin vereist is, moet u deze sleutel configureren met de juiste tekenreeks die wordt verwacht door de Apache httpd SSLPassPhraseDialog-adressering. Voer niet de letterlijke wachtwoordzin voor deze sleutel in. Raadpleeg de Apache-documentatie om te lezen hoe u deze sleutel configureert.
Deze configuratie is globaal voor onafhankelijke gateway.
SSLPassPhraseDialog(Link wordt in een nieuw venster geopend)

gateway.tsig.ssl.protocols

Terugvaloptie: ssl.protocols

Geef ondersteunde versies van SSL/TLS op. Zie Controlelijst voor het versterken van de beveiliging voor meer informatie over de standaardconfiguratie.SSLProtocols(Link wordt in een nieuw venster geopend)

gateway.tsig.ssl.ciphersuite

Terugvaloptie: ssl.ciphersuite

Geeft de codering op die de client mag onderhandelen voor een SSL-verbinding.SSLCipherSuite(Link wordt in een nieuw venster geopend)
gateway.tsig.ssl.client_certificate_login.required

Stel deze waarde in op true om wederzijdse TLS op deze verbinding mogelijk te maken.

U moet ook de eigenschap gateway.tsig.ssl.cacert.file instellen zoals hieronder gespecificeerd.

N.v.t.
gateway.tsig.ssl.cacert.fileGeeft het bestand op dat de samengevoegde CA-certificaten voor het clientverificatieproces bevat.SSLCACertificateFile(Link wordt in een nieuw venster geopend)
gateway.tsig.ssl.revocation.fileGeeft het bestand op dat de samengevoegde CA-intrekkingslijsten bevat voor clients die verbinding maken met onafhankelijke gateway.SSLCARevocationFile(Link wordt in een nieuw venster geopend)
gateway.tsig.ssl.redirect

Wanneer onafhankelijke gateway is geconfigureerd voor TLS, dwingt deze optie clientaanvragen van poort 80 (standaard) om te leiden naar TLS.

Standaard: true.

N.v.t.
gateway.tsig.ssl.redirect_from_port

Wanneer gateway.tsig.ssl.redirect is ingesteld op true kunt u met deze optie de poort opgeven waarvandaan het verkeer wordt omgeleid.

Standaard: 80.

N.v.t.

Onafhankelijke gateway naar Tableau Server

In deze sectie wordt beschreven hoe u de verbinding tussen de onafhankelijke gateway en Tableau Server versleutelt.

Stap 1: TLS op Tableau Server configureren en inschakelen

Zie SSL configureren voor extern HTTP-verkeer naar en vanaf Tableau Server.

Houd er rekening mee dat SSL eigenlijk een TLS-implementatie is en dat 'extern' verwijst naar een externe verbinding met Tableau Server. In dit scenario is de onafhankelijke gateway de 'externe' verbinding.

Wij raden aan om TLS in te schakelen en te controleren of clients rechtstreeks verbinding kunnen maken met Tableau Server voordat u onafhankelijke gateway configureert.

Stap 2: distribueer certificaatbestanden naar onafhankelijke gateway-computers

U moet certificaatbestanden distribueren naar de onafhankelijke gateway-computers als een van de volgende situaties van toepassing is:

  • U gebruikt zelfondertekende certificaten of PKI-certificaten voor de TLS-certificaten in de Tableau Server-implementatie.
  • U schakelt wederzijdse TLS in op de verbinding van onafhankelijke gateway naar Tableau Server.

Zoals bij alle TLS-gerelateerde bestanden op onafhankelijke gateway-computers, moet u de bestanden op elke computer in dezelfde paden plaatsen. Alle bestandsnamen voor gedeelde TLS-bestanden moeten hetzelfde zijn.

Stap 3: TLS-configuratie-eigenschappen in Tableau Server instellen

De meeste TSM-configuratiesleutels in de volgende tabel zijn afgeleid van Apache httpd-adresseringen. Als zodanig worden de configuratiewaarden voor deze TSM-configuratiesleutels rechtstreeks toegewezen aan de geldige waarden voor de overeenkomstige Apache-adressering. In de volgende tabel vindt u links naar de bijbehorende adresseringen.

In sommige gevallen maakt de configuratie gebruik van terugvalconfiguraties als een bepaalde sleutel niet is ingesteld. Deze worden in de onderstaande tabel weergegeven.

De configuratieopties in de volgende tabel hebben betrekking op configuratiesleutels die u moet instellen met de opdracht tsm configuration set. Alle opdrachten moeten de --force-keys-optie bevatten. Bijvoorbeeld:

tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys

Nadat u de configuratiesleutels hebt ingesteld, moet u tsm pending-changes apply uitvoeren.

Configuratie-eigenschapBeschrijvingOvereenkomstige Apache-adressering

gateway.tsig.ssl.proxy.cacertificatefile

Als uw organisatie een zelfondertekend of door PKI gegenereerd TLS-certificaat voor Tableau Server gebruikt, moet u een pad naar het CA-rootcertificaatbestand opgeven. Dit CA-rootcertificaatbestand moet op de onafhankelijke gateway-computers worden opgeslagen.SSLProxyCACertificateFile (Link wordt in een nieuw venster geopend)

gateway.tsig.ssl.proxy.protocols

Terugvaloptie: ssl.protocols

Geef ondersteunde versies van SSL/TLS op. Zie Controlelijst voor het versterken van de beveiliging voor meer informatie over de standaardconfiguratie.SSLProtocols(Link wordt in een nieuw venster geopend)

gateway.tsig.ssl.proxy.ciphersuite

Terugvaloptie: ssl.ciphersuite

Geeft de codering op die de client mag onderhandelen voor een SSL-verbinding.SSLCipherSuite(Link wordt in een nieuw venster geopend)
gateway.tsig.ssl.proxy.machinecertificatefileVoor wederzijdse TLS. Geeft het bestand op dat samengevoegde certificaatsleutelparen bevat voor verificatie van de onafhankelijke gateway naar Tableau Server.SSLProxyMachineCertificateFile(Link wordt in een nieuw venster geopend)
gateway.tsig.ssl.proxy.verify

Geeft aan of onafhankelijke gateway het certificaat dat door Tableau Server wordt gepresenteerd, moet verifiëren.

Standaard ingesteld op require.

SSLProxyVerify(Link wordt in een nieuw venster geopend)
gateway.tsig.ssl.proxy.checkpeername

Geeft aan of onafhankelijke gateway het Tableau Server-certificaat inspecteert om te verifiëren of de onderwerpnaam overeenkomt met de servernaam.

Standaard ingesteld op off.

SSLProxyCheckPeerName(Link wordt in een nieuw venster geopend)
gateway.tsig.ssl.proxy.checkpeerexpire

Geeft aan of onafhankelijke gateway het Tableau Server-certificaat inspecteert om de vervaldatum te verifiëren:

Standaard ingesteld op off.

SSLProxyCheckPeerExpire(Link wordt in een nieuw venster geopend)

Stap 4: upload het CA-rootcertificaat naar Tableau Server

Als het TLS-certificaat dat u op de onafhankelijke gateway-computers gebruikt een zelfondertekend of door PKI gegenereerd certificaat is, moet u deze extra stap uitvoeren. Als het TLS-certificaat dat u op de onafhankelijke gateway-computer gebruikt een certificaat is van een vertrouwde externe certificeringsinstantie, kunt u deze stap overslaan.

Kopieer het CA-rootcertificaat dat wordt gebruikt voor de onafhankelijke gateway-computers naar het eerste knooppunt van Tableau Server en voer vervolgens de volgende opdrachten uit:

tsm security custom-cert add -c <root-certificate-file-name>.pem
tsm pending-changes apply

Housekeeping-verbinding tussen Tableau Server en onafhankelijke gateway

Het housekeeping (HK)-proces onderhoudt de configuratiestatus tussen de backend van de Tableau Server-implementatie en de onafhankelijke gateway.

Wanneer onafhankelijke gateway is geïnstalleerd, biedt de standaardconfiguratie een niet-gecodeerde HTTP-verbinding. Onafhankelijke gateway luistert naar housekeeping-aanvragen die afkomstig zijn van het Tableau Server-cluster (zoals u dat tijdens de installatie hebt gedefinieerd).

Als u meerdere instanties van onafhankelijke gateway uitvoert, moeten alle servers housekeeping-verzoeken met TLS accepteren, of allemaal zonder TLS. In dit gedeelte wordt beschreven hoe u de HK-verbinding voor TLS configureert. Voor dit proces moet Tableau Server opnieuw worden opgestart, wat downtime tot gevolg heeft.

Net als bij de hierboven beschreven TLS-scenario's worden veel van de configuratiewijzigingen voor de HK-verbinding ingesteld op configuratie-eigenschappen die worden beheerd door het Tableau Server-cluster. Voor de HK TLS-configuratie zijn echter aanvullende stappen op onafhankelijke gateway vereist.

Stap 1: distribueer bestanden naar de onafhankelijke gateway-computers

Als u TLS hebt ingeschakeld met een extern netwerk en een onafhankelijke gateway, kunt u dezelfde certificaat- en sleutelbestanden gebruiken voor de HK-verbinding.

Als u dezelfde assets gebruikt, is het enige andere certificaatbestand dat u hoeft te distribueren het CA-rootcertificaat voor het certificaat dat door Tableau Server wordt gebruikt. Als het TLS-certificaat dat door Tableau Server wordt gepresenteerd, wordt gegenereerd door een vertrouwde externe CA, hoeft u geen CA-rootcertificaat naar de onafhankelijke gateway-computers te kopiëren.

  1. Plaats certificaten en bijbehorende bestanden op een locatie en met machtigingen waarmee de onafhankelijke gateway-service (tsig-httpd) ze kan lezen. Wij adviseren de toegang tot de sleutelbestanden te beperken, zodat alleen de onafhankelijke gateway-service deze kan lezen.
  2. Plaats alle bestanden, certificaten en sleutels op exact dezelfde locaties op alle onafhankelijke gateway-computers.

Stap 2: CA-rootcertificaat van de onafhankelijke gateway in het Tableau Server-vertrouwensarchief importeren

Als het TLS-certificaat dat u op de onafhankelijke gateway-computers gebruikt een zelfondertekend of door PKI gegenereerd certificaat is, moet u deze extra stap uitvoeren. Als het TLS-certificaat dat u op de onafhankelijke gateway-computer gebruikt een certificaat is van een vertrouwde externe certificeringsinstantie, kunt u deze stap overslaan.

U mag slechts één CA-rootcertificaat uploaden naar Tableau Server. Als u dus al een CA-rootcertificaat hebt geüpload, moet hetzelfde CA-rootcertificaat het certificaat ondertekenen dat u voor de HK-verbinding gaat gebruiken.

Kopieer het CA-rootcertificaat dat wordt gebruikt voor de onafhankelijke gateway-computers naar het eerste knooppunt van Tableau Server en voer vervolgens de volgende opdrachten uit:

tsm security custom-cert add -c <root-certificate-file-name>.pem
tsm pending-changes apply

Stap 3: omgevingsvariabelen op onafhankelijke gateway-computers bijwerken

Stel op elke onafhankelijke gateway-computer de omgevingsvariabele TSIG_HK_PROTOCOL in op https. U kunt een alternatieve poort voor HK opgeven (standaard is 21319) door ook de omgevingsvariabele TSIG_HK_PORT in te stellen.

Wijzig deze waarden door het post-installatiescript opnieuw uit te voeren om een andere waarde voor TSIG_HK_PROTOCOL en TSIG_HK_PORT op te geven. Standaard staat het script in C:\Program Files\Tableau\Tableau Server\independentgateway\scripts\initialize-tsig.bat.

Stap 4: httpd.conf.stub op onafhankelijke gateway bijwerken

U moet het httpd.conf.stub-bestand bijwerken op elke onafhankelijke gateway-server. Het httpd.conf.stub-bestand wordt gebruikt om de globale httpd-configuratie te seeden.

Het bestand bevindt zich in TSIG_DATA/config/httpd.conf.stub.

  1. Open het bestand httpd.conf.stub in een teksteditor. U moet het blok <VirtualHost *:${TSIG_HK_PORT}> bijwerken met HK-configuratiedetails. Het volgende voorbeeld toont de vereiste wijzigingen:

    <VirtualHost *:${TSIG_HK_PORT}>
     SSLEngine on
     #TLS# SSLHonorCipherOrder on
     #TLS# SSLCompression off
     SSLCertificateFile /etc/ssl/certs/tsig-ssl.crt
     SSLCertificateKeyFile /etc/ssl/private/tsig-ssl.key
     SSLCACertificateFile /etc/ssl/certs/rootTS-CACert.pem 
    #TLS# SSLCARevocationFile /path/to/file
    </VirtualHost>				

    Opmerkingen:

    • Standaard wordt elke regel in het blok <VirtualHost *:${TSIG_HK_PORT}> uitgecommentarieerd door de tekenreeks #TLS#. Om een regel in het blok 'in te schakelen', verwijdert u de tekenreeks #TLS# aan het begin van de regel.
    • Zoals bij alle httpd-configuraties is voor elk gerefereerd bestand een absoluut pad naar het bestand vereist.
    • SSLCACertificateFile geeft het CA-rootcertificaat op voor de CA die het certificaat genereert dat Tableau Server presenteert. U hoeft dit alleen in te stellen als het TLS-certificaat dat door Tableau Server wordt gebruikt, zelfondertekend is of door een PKI is gegenereerd.
  2. Stop de tsig-httpd-service.

    Vanaf dit punt ontvangt u mislukte statuscontroles, wat in TSM aangeeft dat uw onafhankelijke gateway-component is aangetast.

  3. Kopieer httpd.conf.stub naar httpd.conf.

    Het bestand httpd.conf staat in dezelfde directory. Overschrijf het httpd.conf-bestand met het httpd.conf.stub-bestand.

  4. Start de tsig-httpd-service.

    U blijft nu mislukte statuscontroles ontvangen, wat in TSM aangeeft dat uw onafhankelijke gateway-component is aangetast. Deze statuscontroles mislukken totdat u de configuratie hebt voltooid zoals beschreven in de volgende stappen.

Stap 5: TLS-configuratie-eigenschappen in Tableau Server instellen

Om de configuratiewijzigingen door te voeren, moet de server opnieuw worden opgestart. Om lange time-outtijden te voorkomen, raden we u aan de server te stoppen voordat u de wijzigingen toepast die u hier instelt. In stap 6 voert u een updateopdracht uit en start u TSM opnieuw op. Als TSM in deze fase van de configuratie wordt gestopt, is de downtime korter.

  1. Stop TSM. Voer de volgende opdracht uit:

    tsm stop
  2. De meeste TSM-configuratiesleutels in de volgende tabel zijn afgeleid van Apache httpd-adresseringen. Als zodanig worden de configuratiewaarden voor deze TSM-configuratiesleutels rechtstreeks toegewezen aan de geldige waarden voor de overeenkomstige Apache-adressering. In de volgende tabel vindt u links naar de bijbehorende adresseringen.

    Er zijn TSM-configuratie-eigenschapsnamen die de volgende elementen bevatten: hk-knooppunt in het voorvoegsel: gateway.tsig.hk.xyz.abc. Als deze waarden zijn ingesteld, worden ze gebruikt voor de HK TLS-configuratie. Als dit niet is ingesteld, gebruiken veel configuratie-eigenschappen de terugvaloptie gateway.tsig.xyz.abc, die zelf al dan niet terugvalt op gateway.xyz.abc. De terugvalconfiguratie-eigenschap wordt vermeld indien relevant.

    De configuratieopties in de volgende tabel hebben betrekking op configuratiesleutels die u moet instellen met de opdracht tsm configuration set. Alle opdrachten moeten de --force-keys-optie bevatten. Bijvoorbeeld:

    tsm configuration set -k gateway.tsig.hk.ssl.enabled -v true --force-keys
    Configuratie-eigenschapBeschrijvingOvereenkomstige Apache-adressering

    gateway.tsig.hk.ssl.enabled

    (Geen terugvaloptie)

    Vereist.

    Schakelt TLS in. Moet worden ingesteld op true.

    N.v.t.

    gateway.tsig.hk.ssl.cert.file_name

    Terugvaloptie:

    gateway.tsig.ssl.cert.file_name

    Pad + bestandsnaam van het certificaatbestand voor onafhankelijke gateway. Bijvoorbeeld /etc/ssl/certs/tsig-ssl.crt.

    SSLCertificateFile(Link wordt in een nieuw venster geopend)

    gateway.tsig.hk.ssl.key.file_name

    Terugvaloptie:

    gateway.tsig.ssl.key.file_name

    Pad + bestandsnaam van de certificaatsleutel voor onafhankelijke gateway. Bijvoorbeeld /etc/ssl/keys/tsig-ssl.key.

    SSLCertificateKeyFile(Link wordt in een nieuw venster geopend)

    gateway.tsig.ssl.key.passphrase.dialog

    (Globale eigenschap)

    Als voor uw sleutel een wachtwoordzin vereist is, moet u deze sleutel configureren met de juiste tekenreeks die wordt verwacht door de Apache httpd SSLPassPhraseDialog-adressering.
    Deze configuratie is globaal voor onafhankelijke gateway.
    SSLPassPhraseDialog(Link wordt in een nieuw venster geopend)

    gateway.tsig.hk.ssl.protocols

    Terugvalopties:

    gateway.tsig.ssl.protocols

    ssl.protocols

    Geef ondersteunde versies van SSL/TLS op. Zie Controlelijst voor het versterken van de beveiliging voor meer informatie over de standaardconfiguratie.SSLProtocols(Link wordt in een nieuw venster geopend)

    gateway.tsig.hk.ssl.ciphersuite

    Terugvalopties:

    gateway.tsig.ssl.ciphersuite

    ssl.ciphersuite

    Geeft de codering op die de client mag onderhandelen voor een SSL-verbinding.SSLCipherSuite(Link wordt in een nieuw venster geopend)

    gateway.tsig.hk.ssl.client_certificate_login.required

    (Geen terugvaloptie)

    Stel deze waarde in op true om wederzijdse TLS op deze verbinding mogelijk te maken.

    U moet ook de eigenschap gateway.tsig.hk.ssl.cacert.file instellen zoals hieronder gespecificeerd.

    N.v.t.

    gateway.tsig.hk.ssl.cacert.file

    Terugvaloptie:

    gateway.tsig.ssl.cacert.file

    Geeft het bestand op dat de samengevoegde CA-certificaten voor het clientverificatieproces bevat.SSLCACertificateFile(Link wordt in een nieuw venster geopend)

    gateway.tsig.hk.ssl.revocation.file

    Terugvaloptie:

    gateway.tsig.hk.ssl.revocation.file

    Geeft het bestand op dat de samengevoegde CA-intrekkingslijsten bevat voor clients die verbinding maken met onafhankelijke gateway.SSLCARevocationFile(Link wordt in een nieuw venster geopend)
  3. Pas de wijzigingen toe. Voer de volgende opdracht uit:

    tsm pending-changes apply.

Stap 6: JSON-configuratiebestand van onafhankelijke gateway bijwerken

De laatste stap is het bijwerken van de configuratie van de onafhankelijke gateway met een JSON-bestand dat de overstap naar https en, indien van toepassing, andere poortnummers weerspiegelt.

Raadpleeg het installatieonderwerp voor meer informatie over het bewerken van dit bestand. Zie Stap 3: Onafhankelijke gateway in Tableau Server inschakelen.

Nadat u het JSON-bestand hebt bijgewerkt, voert u de volgende opdrachten uit:

tsm topology external-services gateway update -c tsig.json
tsm start

Problemen oplossen

Zie Problemen met de onafhankelijke gateway van Tableau Server oplossen(Link wordt in een nieuw venster geopend) in de Gids voor bedrijfsbrede implementatie (GBI) voor tips voor het oplossen van problemen. In de GBI staat een voorbeeld van een implementatie van Tableau Server op Linux. De stappen voor probleemoplossing zijn handig voor Windows- of Linux-versies van Tableau Server.

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.