TLS configureren op onafhankelijke gateway
TLS-ondersteuning voor onafhankelijke gateway is beschikbaar in Tableau Server 2022.1.2 en later.
Zowel Tableau Server als Onafhankelijke gateway van Tableau Server gebruiken de SSL-module (mod_ssl) die is gebouwd met OpenSSL om Transport Layer Security (TLS)-functies te implementeren.
Vanwege de complexiteit en het beveiligingsgevoelige karakter van TLS adviseren wij u om de TLS-configuratie te laten plannen en implementeren door een IT-professional die bekend is met TLS op Apache httpd.
In veel gevallen gebruiken we 'SSL' in de namen van dingen vanwege de compatibiliteit met bestaande TSM- of Apache httpd-configuratie-eigenschappen of -concepten. 'SSL' verwijst eigenlijk naar protocolversies die nu als onveilig en verouderd worden beschouwd. De oude naam blijft echter bestaan en wordt vaak als synoniem voor TLS gebruikt. Tableau Server en onafhankelijke gateway ondersteunen geen SSL-protocollen.
TLS-configuratievoorbeeld
Zie SSL/TLS configureren van Load Balancer naar Tableau Server(Link wordt in een nieuw venster geopend) in de Gids voor bedrijfsbrede implementatie voor een end-to-end TLS-configuratievoorbeeld. Het onderwerp toont een stapsgewijs voorbeeld van het configureren van TLS op Tableau Server op Linux in een AWS-implementatie. Hoewel het voorbeeld het proces voor Linux beschrijft, is het configuratievoorbeeld ook nuttig voor Tableau Server op Windows.
TLS-configuratieoverzicht
U kunt TLS voor HTTPS configureren op een van de volgende secties van het internet-naar-Tableau Server-pad:
- Van het externe netwerk (internet of front-end loadbalancer) naar onafhankelijke gateway
- Van onafhankelijke gateway naar Tableau Server
- Voor Housekeeping (HK)-proces van Tableau Server naar Onafhankelijke gateway
In dit onderwerp worden procedures beschreven voor het configureren van elk van deze hops.
U moet configuratiewijzigingen aanbrengen op de onafhankelijke gateway-computers en in het Tableau Server-cluster.
Certificaatvereisten en overwegingen
De certificaatvereisten voor de onafhankelijke gateway zijn gelijk aan die voor Tableau Server 'externe SSL'. Zie Vereisten voor SSL-certificaatbestand.
Andere overwegingen:
- Om certificaatbeheer en -implementatie te vereenvoudigen en als best practice voor de beveiliging, raden we aan om certificaten te gebruiken die zijn gegenereerd door een grote, vertrouwde externe certificeringsinstantie (CA). U kunt er ook voor kiezen om zelfondertekende certificaten te genereren of certificaten van een PKI voor TLS te gebruiken. Let in dat geval op de configuratieopties voor het vertrouwen van CA-certificaten en het valideren van certificaten.
- Hebt u voor uw implementatie van een certificaatketenbestand nodig? Raadpleeg dan het Knowledge Base-artikel TLS configureren op onafhankelijke gateway bij gebruik van een certificaat met een certificaatketen(Link wordt in een nieuw venster geopend).
- Als u meerdere instanties van onafhankelijke gateway uitvoert, moet u certificaten naar elke computer op dezelfde locatie (bestandspad) distribueren.
- Als u een Tableau Server-implementatie met meer dan één knooppunt uitvoert, worden certificaten die u uploadt met TSM-opdrachten automatisch over de knooppunten verdeeld. Voer alle TSM-opdrachten uit op het eerste knooppunt.
Globale TLS-configuraties
De volgende configuraties zijn globaal. De onderstaande configuratieopties hebben betrekking op configuratiesleutels die moeten worden ingesteld met de opdracht tsm configuration set. De opdrachten moeten de --force-keys-optie bevatten.
Het is onwaarschijnlijk dat u deze waarden hoeft te wijzigen.
Houd er rekening mee dat elk sleutelpaar dezelfde naamgevingsindeling heeft, waarbij de tekenreeks, tsig, de waarde instelt voor de onafhankelijke gateway. De sleutel die de tekenreeks, tsig, niet bevat, stelt de waarde in voor het gatewayproces op het Tableau Server-cluster.
Als u geen waarde instelt voor de tsig-sleutel, dan wordt de standaardgatewaywaarde van Tableau Server gebruikt.
gateway.tsig.httpd.socacheofgateway.httpd.socacheStandaard:
shmcbAlternatieve waarde:
dbmHet opslagtype van de SSL-sessiecache tussen processen. Zie SSLSessionCache-richtlijn(Link wordt in een nieuw venster geopend) op de Apache-website voor meer informatie over de opslagtypen shmcb en dbm.
gateway.tsig.httpd.shmcb.sizeofgateway.httpd.shmcb.sizeStandaard:
2048000Omvang van het geheugen, in bytes, dat gebruikt wordt voor de circulaire buffer bij gebruik van het opslagtype
shmcb.
Opmerking: Een andere globale sleutel is gateway.tsig.ssl.key.passphrase.dialog. Indien van toepassing is er slechts één configuratie voor gateway.tsig.ssl.key.passphrase.dialog. Deze is zo ontworpen dat het wachtwoordzinnen verzamelt voor alle gecodeerde bestanden met privésleutels in de configuratie. In de toepasselijke paragrafen verderop in dit artikel wordt het gebruik van deze sleutel beschreven.
Externe TLS naar onafhankelijke gateway
Het proces voor het configureren van externe verbindingen om TLS op de onafhankelijke gateway-servers te beëindigen, is qua concept vergelijkbaar met de manier waarop 'externe SSL' wordt geconfigureerd voor een Tableau Server-cluster. De mechanismen zijn anders. TSM distribueert niet automatisch certificaat- en sleutelmateriaal naar onafhankelijke gateway-knooppunten. Bovendien biedt onafhankelijke gateway niet automatisch een manier om de optionele TLS-sleutelwachtwoordzin bij het opstarten te verstrekken.
De volgende stappen beschrijven hoe u TLS configureert van een externe bron naar onafhankelijke gateway-computers.
Stap 1: distribueer bestanden naar de onafhankelijke gateway-computers
- Plaats certificaten en bijbehorende bestanden op een locatie en met machtigingen waarmee de onafhankelijke gateway-service (tsig-httpd) ze kan lezen. Wij adviseren de toegang tot de sleutelbestanden te beperken, zodat alleen de onafhankelijke gateway-service deze kan lezen.
- Plaats alle bestanden, certificaten en sleutels op exact dezelfde locaties op alle onafhankelijke gateway-computers. Plaats de bestanden buiten de paden TSIG_INSTALL en TSIG_DATA, zodat ze niet worden verwijderd als u de onafhankelijke gateway opnieuw installeert of upgradet.
Stap 2: omgevingsvariabelen op onafhankelijke gateway-computers bijwerken
Stel op elke onafhankelijke gateway-computer de omgevingsvariabelen TSIG_PORT en TSIG_PROTOCOL in op 443 (volgens afspraak, maar elk ongebruikt TCP-poortnummer wordt ondersteund) en https respectievelijk.
Wijzig deze waarden door het post-installatiescript opnieuw uit te voeren om een andere waarde voor TSIG_PORT en TSIG_PROTOCOL op te geven. Standaard staat het script in C:\Program Files\Tableau\Tableau Server\independentgateway\scripts\initialize-tsig.bat.
Stap 3: TLS-configuratie-eigenschappen in Tableau Server instellen
De meeste TSM-configuratiesleutels in de volgende tabel zijn afgeleid van Apache httpd-adresseringen. Als zodanig worden de configuratiewaarden voor deze TSM-configuratiesleutels rechtstreeks toegewezen aan de geldige waarden voor de overeenkomstige Apache-adressering. In de volgende tabel vindt u links naar de bijbehorende adresseringen.
In sommige gevallen maakt de configuratie gebruik van terugvalconfiguraties als een bepaalde sleutel niet is ingesteld. Deze worden in de onderstaande tabel weergegeven.
De configuratieopties in de volgende tabel hebben betrekking op configuratiesleutels die u moet instellen met de opdracht tsm configuration set. Alle opdrachten moeten de --force-keys-optie bevatten. Bijvoorbeeld:
tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys
Nadat u de configuratiesleutels hebt ingesteld, moet u tsm pending-changes apply uitvoeren.
| Configuratie-eigenschap | Beschrijving | Overeenkomstige Apache-adressering |
|---|---|---|
| gateway.tsig.ssl.enabled | Vereist. Schakelt TLS in. Moet worden ingesteld op | N.v.t. |
| gateway.tsig.ssl.cert.file_name | Vereist. Pad + bestandsnaam van het certificaatbestand voor onafhankelijke gateway. Bijvoorbeeld | SSLCertificateFile(Link wordt in een nieuw venster geopend) |
| gateway.tsig.ssl.key.file_name | Vereist. Pad + bestandsnaam van de certificaatsleutel voor onafhankelijke gateway. Bijvoorbeeld | SSLCertificateKeyFile(Link wordt in een nieuw venster geopend) |
| gateway.tsig.ssl.key.passphrase.dialog | Als voor uw sleutel een wachtwoordzin vereist is, moet u deze sleutel configureren met de juiste tekenreeks die wordt verwacht door de Apache httpd SSLPassPhraseDialog-adressering. Voer niet de letterlijke wachtwoordzin voor deze sleutel in. Raadpleeg de Apache-documentatie om te lezen hoe u deze sleutel configureert. Deze configuratie is globaal voor onafhankelijke gateway. | SSLPassPhraseDialog(Link wordt in een nieuw venster geopend) |
gateway.tsig.ssl.protocols Terugvaloptie: ssl.protocols | Geef ondersteunde versies van SSL/TLS op. Zie Controlelijst voor het versterken van de beveiliging voor meer informatie over de standaardconfiguratie. | SSLProtocols(Link wordt in een nieuw venster geopend) |
gateway.tsig.ssl.ciphersuite Terugvaloptie: ssl.ciphersuite | Geeft de codering op die de client mag onderhandelen voor een SSL-verbinding. | SSLCipherSuite(Link wordt in een nieuw venster geopend) |
| gateway.tsig.ssl.client_certificate_login.required | Stel deze waarde in op U moet ook de eigenschap | N.v.t. |
| gateway.tsig.ssl.cacert.file | Geeft het bestand op dat de samengevoegde CA-certificaten voor het clientverificatieproces bevat. | SSLCACertificateFile(Link wordt in een nieuw venster geopend) |
| gateway.tsig.ssl.revocation.file | Geeft het bestand op dat de samengevoegde CA-intrekkingslijsten bevat voor clients die verbinding maken met onafhankelijke gateway. | SSLCARevocationFile(Link wordt in een nieuw venster geopend) |
| gateway.tsig.ssl.redirect | Wanneer onafhankelijke gateway is geconfigureerd voor TLS, dwingt deze optie clientaanvragen van poort 80 (standaard) om te leiden naar TLS. Standaard: | N.v.t. |
| gateway.tsig.ssl.redirect_from_port | Wanneer Standaard: | N.v.t. |
Onafhankelijke gateway naar Tableau Server
In deze sectie wordt beschreven hoe u de verbinding tussen de onafhankelijke gateway en Tableau Server versleutelt.
Stap 1: TLS op Tableau Server configureren en inschakelen
Zie SSL configureren voor extern HTTP-verkeer naar en vanaf Tableau Server.
Houd er rekening mee dat SSL eigenlijk een TLS-implementatie is en dat 'extern' verwijst naar een externe verbinding met Tableau Server. In dit scenario is de onafhankelijke gateway de 'externe' verbinding.
Wij raden aan om TLS in te schakelen en te controleren of clients rechtstreeks verbinding kunnen maken met Tableau Server voordat u onafhankelijke gateway configureert.
Stap 2: distribueer certificaatbestanden naar onafhankelijke gateway-computers
U moet certificaatbestanden distribueren naar de onafhankelijke gateway-computers als een van de volgende situaties van toepassing is:
- U gebruikt zelfondertekende certificaten of PKI-certificaten voor de TLS-certificaten in de Tableau Server-implementatie.
- U schakelt wederzijdse TLS in op de verbinding van onafhankelijke gateway naar Tableau Server.
Zoals bij alle TLS-gerelateerde bestanden op onafhankelijke gateway-computers, moet u de bestanden op elke computer in dezelfde paden plaatsen. Alle bestandsnamen voor gedeelde TLS-bestanden moeten hetzelfde zijn.
Stap 3: TLS-configuratie-eigenschappen in Tableau Server instellen
De meeste TSM-configuratiesleutels in de volgende tabel zijn afgeleid van Apache httpd-adresseringen. Als zodanig worden de configuratiewaarden voor deze TSM-configuratiesleutels rechtstreeks toegewezen aan de geldige waarden voor de overeenkomstige Apache-adressering. In de volgende tabel vindt u links naar de bijbehorende adresseringen.
In sommige gevallen maakt de configuratie gebruik van terugvalconfiguraties als een bepaalde sleutel niet is ingesteld. Deze worden in de onderstaande tabel weergegeven.
De configuratieopties in de volgende tabel hebben betrekking op configuratiesleutels die u moet instellen met de opdracht tsm configuration set. Alle opdrachten moeten de --force-keys-optie bevatten. Bijvoorbeeld:
tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys
Nadat u de configuratiesleutels hebt ingesteld, moet u tsm pending-changes apply uitvoeren.
| Configuratie-eigenschap | Beschrijving | Overeenkomstige Apache-adressering |
|---|---|---|
gateway.tsig.ssl.proxy.cacertificatefile | Als uw organisatie een zelfondertekend of door PKI gegenereerd TLS-certificaat voor Tableau Server gebruikt, moet u een pad naar het CA-rootcertificaatbestand opgeven. Dit CA-rootcertificaatbestand moet op de onafhankelijke gateway-computers worden opgeslagen. | SSLProxyCACertificateFile (Link wordt in een nieuw venster geopend) |
gateway.tsig.ssl.proxy.protocols Terugvaloptie: ssl.protocols | Geef ondersteunde versies van SSL/TLS op. Zie Controlelijst voor het versterken van de beveiliging voor meer informatie over de standaardconfiguratie. | SSLProtocols(Link wordt in een nieuw venster geopend) |
gateway.tsig.ssl.proxy.ciphersuite Terugvaloptie: ssl.ciphersuite | Geeft de codering op die de client mag onderhandelen voor een SSL-verbinding. | SSLCipherSuite(Link wordt in een nieuw venster geopend) |
| gateway.tsig.ssl.proxy.machinecertificatefile | Voor wederzijdse TLS. Geeft het bestand op dat samengevoegde certificaatsleutelparen bevat voor verificatie van de onafhankelijke gateway naar Tableau Server. | SSLProxyMachineCertificateFile(Link wordt in een nieuw venster geopend) |
| gateway.tsig.ssl.proxy.verify | Geeft aan of onafhankelijke gateway het certificaat dat door Tableau Server wordt gepresenteerd, moet verifiëren. Standaard ingesteld op | SSLProxyVerify(Link wordt in een nieuw venster geopend) |
| gateway.tsig.ssl.proxy.checkpeername | Geeft aan of onafhankelijke gateway het Tableau Server-certificaat inspecteert om te verifiëren of de onderwerpnaam overeenkomt met de servernaam. Standaard ingesteld op | SSLProxyCheckPeerName(Link wordt in een nieuw venster geopend) |
| gateway.tsig.ssl.proxy.checkpeerexpire | Geeft aan of onafhankelijke gateway het Tableau Server-certificaat inspecteert om de vervaldatum te verifiëren: Standaard ingesteld op | SSLProxyCheckPeerExpire(Link wordt in een nieuw venster geopend) |
Stap 4: upload het CA-rootcertificaat naar Tableau Server
Als het TLS-certificaat dat u op de onafhankelijke gateway-computers gebruikt een zelfondertekend of door PKI gegenereerd certificaat is, moet u deze extra stap uitvoeren. Als het TLS-certificaat dat u op de onafhankelijke gateway-computer gebruikt een certificaat is van een vertrouwde externe certificeringsinstantie, kunt u deze stap overslaan.
Kopieer het CA-rootcertificaat dat wordt gebruikt voor de onafhankelijke gateway-computers naar het eerste knooppunt van Tableau Server en voer vervolgens de volgende opdrachten uit:
tsm security custom-cert add -c <root-certificate-file-name>.pem tsm pending-changes apply
Housekeeping-verbinding tussen Tableau Server en onafhankelijke gateway
Het housekeeping (HK)-proces onderhoudt de configuratiestatus tussen de backend van de Tableau Server-implementatie en de onafhankelijke gateway.
Wanneer onafhankelijke gateway is geïnstalleerd, biedt de standaardconfiguratie een niet-gecodeerde HTTP-verbinding. Onafhankelijke gateway luistert naar housekeeping-aanvragen die afkomstig zijn van het Tableau Server-cluster (zoals u dat tijdens de installatie hebt gedefinieerd).
Als u meerdere instanties van onafhankelijke gateway uitvoert, moeten alle servers housekeeping-verzoeken met TLS accepteren, of allemaal zonder TLS. In dit gedeelte wordt beschreven hoe u de HK-verbinding voor TLS configureert. Voor dit proces moet Tableau Server opnieuw worden opgestart, wat downtime tot gevolg heeft.
Net als bij de hierboven beschreven TLS-scenario's worden veel van de configuratiewijzigingen voor de HK-verbinding ingesteld op configuratie-eigenschappen die worden beheerd door het Tableau Server-cluster. Voor de HK TLS-configuratie zijn echter aanvullende stappen op onafhankelijke gateway vereist.
Stap 1: distribueer bestanden naar de onafhankelijke gateway-computers
Als u TLS hebt ingeschakeld met een extern netwerk en een onafhankelijke gateway, kunt u dezelfde certificaat- en sleutelbestanden gebruiken voor de HK-verbinding.
Als u dezelfde assets gebruikt, is het enige andere certificaatbestand dat u hoeft te distribueren het CA-rootcertificaat voor het certificaat dat door Tableau Server wordt gebruikt. Als het TLS-certificaat dat door Tableau Server wordt gepresenteerd, wordt gegenereerd door een vertrouwde externe CA, hoeft u geen CA-rootcertificaat naar de onafhankelijke gateway-computers te kopiëren.
- Plaats certificaten en bijbehorende bestanden op een locatie en met machtigingen waarmee de onafhankelijke gateway-service (tsig-httpd) ze kan lezen. Wij adviseren de toegang tot de sleutelbestanden te beperken, zodat alleen de onafhankelijke gateway-service deze kan lezen.
- Plaats alle bestanden, certificaten en sleutels op exact dezelfde locaties op alle onafhankelijke gateway-computers.
Stap 2: CA-rootcertificaat van de onafhankelijke gateway in het Tableau Server-vertrouwensarchief importeren
Als het TLS-certificaat dat u op de onafhankelijke gateway-computers gebruikt een zelfondertekend of door PKI gegenereerd certificaat is, moet u deze extra stap uitvoeren. Als het TLS-certificaat dat u op de onafhankelijke gateway-computer gebruikt een certificaat is van een vertrouwde externe certificeringsinstantie, kunt u deze stap overslaan.
U mag slechts één CA-rootcertificaat uploaden naar Tableau Server. Als u dus al een CA-rootcertificaat hebt geüpload, moet hetzelfde CA-rootcertificaat het certificaat ondertekenen dat u voor de HK-verbinding gaat gebruiken.
Kopieer het CA-rootcertificaat dat wordt gebruikt voor de onafhankelijke gateway-computers naar het eerste knooppunt van Tableau Server en voer vervolgens de volgende opdrachten uit:
tsm security custom-cert add -c <root-certificate-file-name>.pem tsm pending-changes apply
Stap 3: omgevingsvariabelen op onafhankelijke gateway-computers bijwerken
Stel op elke onafhankelijke gateway-computer de omgevingsvariabele TSIG_HK_PROTOCOL in op https. U kunt een alternatieve poort voor HK opgeven (standaard is 21319) door ook de omgevingsvariabele TSIG_HK_PORT in te stellen.
Wijzig deze waarden door het post-installatiescript opnieuw uit te voeren om een andere waarde voor TSIG_HK_PROTOCOL en TSIG_HK_PORT op te geven. Standaard staat het script in C:\Program Files\Tableau\Tableau Server\independentgateway\scripts\initialize-tsig.bat.
Stap 4: httpd.conf.stub op onafhankelijke gateway bijwerken
U moet het httpd.conf.stub-bestand bijwerken op elke onafhankelijke gateway-server. Het httpd.conf.stub-bestand wordt gebruikt om de globale httpd-configuratie te seeden.
Het bestand bevindt zich in TSIG_DATA/config/httpd.conf.stub.
Open het bestand
httpd.conf.stubin een teksteditor. U moet het blok<VirtualHost *:${TSIG_HK_PORT}>bijwerken met HK-configuratiedetails. Het volgende voorbeeld toont de vereiste wijzigingen:<VirtualHost *:${TSIG_HK_PORT}> SSLEngine on #TLS# SSLHonorCipherOrder on #TLS# SSLCompression off SSLCertificateFile /etc/ssl/certs/tsig-ssl.crt SSLCertificateKeyFile /etc/ssl/private/tsig-ssl.key SSLCACertificateFile /etc/ssl/certs/rootTS-CACert.pem #TLS# SSLCARevocationFile /path/to/file </VirtualHost>Opmerkingen:
- Standaard wordt elke regel in het blok
<VirtualHost *:${TSIG_HK_PORT}>uitgecommentarieerd door de tekenreeks#TLS#. Om een regel in het blok 'in te schakelen', verwijdert u de tekenreeks#TLS#aan het begin van de regel. - Zoals bij alle httpd-configuraties is voor elk gerefereerd bestand een absoluut pad naar het bestand vereist.
SSLCACertificateFilegeeft het CA-rootcertificaat op voor de CA die het certificaat genereert dat Tableau Server presenteert. U hoeft dit alleen in te stellen als het TLS-certificaat dat door Tableau Server wordt gebruikt, zelfondertekend is of door een PKI is gegenereerd.
- Standaard wordt elke regel in het blok
Stop de tsig-httpd-service.
Vanaf dit punt ontvangt u mislukte statuscontroles, wat in TSM aangeeft dat uw onafhankelijke gateway-component is aangetast.
Kopieer
httpd.conf.stubnaarhttpd.conf.Het bestand
httpd.confstaat in dezelfde directory. Overschrijf hethttpd.conf-bestand met hethttpd.conf.stub-bestand.Start de tsig-httpd-service.
U blijft nu mislukte statuscontroles ontvangen, wat in TSM aangeeft dat uw onafhankelijke gateway-component is aangetast. Deze statuscontroles mislukken totdat u de configuratie hebt voltooid zoals beschreven in de volgende stappen.
Stap 5: TLS-configuratie-eigenschappen in Tableau Server instellen
Om de configuratiewijzigingen door te voeren, moet de server opnieuw worden opgestart. Om lange time-outtijden te voorkomen, raden we u aan de server te stoppen voordat u de wijzigingen toepast die u hier instelt. In stap 6 voert u een updateopdracht uit en start u TSM opnieuw op. Als TSM in deze fase van de configuratie wordt gestopt, is de downtime korter.
Stop TSM. Voer de volgende opdracht uit:
tsm stop
De meeste TSM-configuratiesleutels in de volgende tabel zijn afgeleid van Apache httpd-adresseringen. Als zodanig worden de configuratiewaarden voor deze TSM-configuratiesleutels rechtstreeks toegewezen aan de geldige waarden voor de overeenkomstige Apache-adressering. In de volgende tabel vindt u links naar de bijbehorende adresseringen.
Er zijn TSM-configuratie-eigenschapsnamen die de volgende elementen bevatten:
hk-knooppunt in het voorvoegsel:gateway.tsig.hk.xyz.abc. Als deze waarden zijn ingesteld, worden ze gebruikt voor de HK TLS-configuratie. Als dit niet is ingesteld, gebruiken veel configuratie-eigenschappen de terugvaloptiegateway.tsig.xyz.abc, die zelf al dan niet terugvalt opgateway.xyz.abc. De terugvalconfiguratie-eigenschap wordt vermeld indien relevant.De configuratieopties in de volgende tabel hebben betrekking op configuratiesleutels die u moet instellen met de opdracht
tsm configuration set. Alle opdrachten moeten de--force-keys-optie bevatten. Bijvoorbeeld:tsm configuration set -k gateway.tsig.hk.ssl.enabled -v true --force-keys
Configuratie-eigenschap Beschrijving Overeenkomstige Apache-adressering gateway.tsig.hk.ssl.enabled
(Geen terugvaloptie)
Vereist.
Schakelt TLS in. Moet worden ingesteld op
true.N.v.t. gateway.tsig.hk.ssl.cert.file_name
Terugvaloptie:
gateway.tsig.ssl.cert.file_name
Pad + bestandsnaam van het certificaatbestand voor onafhankelijke gateway. Bijvoorbeeld
/etc/ssl/certs/tsig-ssl.crt.SSLCertificateFile(Link wordt in een nieuw venster geopend) gateway.tsig.hk.ssl.key.file_name
Terugvaloptie:
gateway.tsig.ssl.key.file_name
Pad + bestandsnaam van de certificaatsleutel voor onafhankelijke gateway. Bijvoorbeeld
/etc/ssl/keys/tsig-ssl.key.SSLCertificateKeyFile(Link wordt in een nieuw venster geopend) gateway.tsig.ssl.key.passphrase.dialog
(Globale eigenschap)
Als voor uw sleutel een wachtwoordzin vereist is, moet u deze sleutel configureren met de juiste tekenreeks die wordt verwacht door de Apache httpd SSLPassPhraseDialog-adressering.
Deze configuratie is globaal voor onafhankelijke gateway.SSLPassPhraseDialog(Link wordt in een nieuw venster geopend) gateway.tsig.hk.ssl.protocols
Terugvalopties:
gateway.tsig.ssl.protocols
ssl.protocols
Geef ondersteunde versies van SSL/TLS op. Zie Controlelijst voor het versterken van de beveiliging voor meer informatie over de standaardconfiguratie. SSLProtocols(Link wordt in een nieuw venster geopend) gateway.tsig.hk.ssl.ciphersuite
Terugvalopties:
gateway.tsig.ssl.ciphersuite
ssl.ciphersuite
Geeft de codering op die de client mag onderhandelen voor een SSL-verbinding. SSLCipherSuite(Link wordt in een nieuw venster geopend) gateway.tsig.hk.ssl.client_certificate_login.required
(Geen terugvaloptie)
Stel deze waarde in op
trueom wederzijdse TLS op deze verbinding mogelijk te maken.U moet ook de eigenschap
gateway.tsig.hk.ssl.cacert.fileinstellen zoals hieronder gespecificeerd.N.v.t. gateway.tsig.hk.ssl.cacert.file
Terugvaloptie:
gateway.tsig.ssl.cacert.file
Geeft het bestand op dat de samengevoegde CA-certificaten voor het clientverificatieproces bevat. SSLCACertificateFile(Link wordt in een nieuw venster geopend) gateway.tsig.hk.ssl.revocation.file
Terugvaloptie:
gateway.tsig.hk.ssl.revocation.file
Geeft het bestand op dat de samengevoegde CA-intrekkingslijsten bevat voor clients die verbinding maken met onafhankelijke gateway. SSLCARevocationFile(Link wordt in een nieuw venster geopend) Pas de wijzigingen toe. Voer de volgende opdracht uit:
tsm pending-changes apply.
Stap 6: JSON-configuratiebestand van onafhankelijke gateway bijwerken
De laatste stap is het bijwerken van de configuratie van de onafhankelijke gateway met een JSON-bestand dat de overstap naar https en, indien van toepassing, andere poortnummers weerspiegelt.
Raadpleeg het installatieonderwerp voor meer informatie over het bewerken van dit bestand. Zie Stap 3: Onafhankelijke gateway in Tableau Server inschakelen.
Nadat u het JSON-bestand hebt bijgewerkt, voert u de volgende opdrachten uit:
tsm topology external-services gateway update -c tsig.json tsm start
Problemen oplossen
Zie Problemen met de onafhankelijke gateway van Tableau Server oplossen(Link wordt in een nieuw venster geopend) in de Gids voor bedrijfsbrede implementatie (GBI) voor tips voor het oplossen van problemen. In de GBI staat een voorbeeld van een implementatie van Tableau Server op Linux. De stappen voor probleemoplossing zijn handig voor Windows- of Linux-versies van Tableau Server.