Help voor Tableau Server op Windows

Belangrijk: dit voorbeeld is bedoeld als algemene leidraad voor IT-professionals die ervaring hebben met SSL-vereisten en -configuratie. De procedure die in dit artikel wordt beschreven, is slechts een van de vele methoden die u kunt gebruiken om de vereiste bestanden te genereren. Het hier beschreven proces moet worden beschouwd als een voorbeeld en niet als een aanbeveling.

Wanneer u Tableau Server configureert voor het gebruik van SSL-codering (Secure Sockets Layer), zorgt u dat de toegang tot de server veilig is en dat de data die tussen Tableau Server en Tableau Desktop worden verzonden, worden beschermd.

Zoekt u naar Tableau Server in Linux? Zie Voorbeeld: SSL-certificaat: een sleutel en CSR genereren(Link wordt in een nieuw venster geopend).

Tableau Server maakt gebruik van Apache, dat onder andere het volgende omvat: OpenSSL(Link wordt in een nieuw venster geopend). U kunt de OpenSSL-toolkit gebruiken om een sleutelbestand en een Certificate Signing Request (CSR) te genereren. Deze kunnen vervolgens worden gebruikt om een ondertekend SSL-certificaat te verkrijgen.

Opmerking: vanaf Tableau Server-versies 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 en wordt Tableau Server uitgevoerd op OpenSSL 3.1.

Om Tableau Server te configureren voor het gebruik van SSL, hebt u een SSL-certificaat nodig. Om het SSL-certificaat te verkrijgen, voltooit u de volgende stappen:

1. De omgevingsvariabele voor OpenSSL-configuratie instellen (optioneel).
2. Een sleutelbestand genereren.
3. Een Certificate Signing Request (CSR) aanmaken.
4. De CSR naar een certificeringsinstantie (CA) verzenden om een SSL-certificaat te verkrijgen.
5. De sleutel en het certificaat gebruiken om Tableau Server te configureren voor het gebruik van SSL.

Meer informatie vindt u op de SSL FAQ-pagina(Link wordt in een nieuw venster geopend) op de website van de Apache Software Foundation.

Tableau Server staat SSL toe voor meerdere domeinen. Om deze omgeving in te stellen, moet u het OpenSSL-configuratiebestand openssl.conf aanpassen en een certificaat voor de Subject Alternative Name (SAN) configureren op Tableau Server. Zie Voor SAN-certificaten: het OpenSSL-configuratiebestand wijzigen hieronder.

Genereer een sleutelbestand dat u gaat gebruiken om een aanvraag voor certificaatondertekening te genereren.

1. Open de opdrachtprompt als beheerder en ga naar de directory Apache voor Tableau Server. Voer bijvoorbeeld de volgende opdracht uit:

   cd C:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\bin

2. Voer de volgende opdracht uit om het sleutelbestand te maken:

   openssl.exe genrsa -out <yourcertname>.key 4096

   Opmerkingen:

   • Deze opdracht gebruikt een sleutellengte van 4.096 bits. U dient een bitlengte van minimaal 2.048 bits te kiezen, omdat communicatie die met een kortere bitlengte is gecodeerd, minder veilig is. Als er geen waarde wordt opgegeven, worden 512 bits gebruikt.
   • Om PKCS#1 RSA-sleutels te maken met Tableau Server-versies 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 en hoger, moet u de extra optie -traditional gebruiken tijdens het uitvoeren van de opdracht openssl genrsa. Dit is gebaseerd op OpenSSL 3.1. Zie https://www.openssl.org/docs/man3.1/man1/openssl-rsa.html(Link wordt in een nieuw venster geopend) voor meer informatie over de optie.

Gebruik het sleutelbestand dat u in de bovenstaande procedure hebt gemaakt om de aanvraag voor certificaatondertekening (CSR) te genereren. U stuurt de CSR naar een certificeringsinstantie (CA) om een ondertekend certificaat te verkrijgen.

Belangrijk: als u een SAN-certificaat wilt configureren om SSL voor meerdere domeinen te gebruiken, voltooit u eerst de stappen in Voor SAN-certificaten: het OpenSSL-configuratiebestand wijzigen hieronder. Keer dan hier terug om een CSR te genereren.

1. Voer de volgende opdracht uit om een aanvraagbestand voor certificaatondertekening (CSR) te maken:

   openssl.exe req -new -key yourcertname.key -out yourcertname.csr

   Als u OPENSSL_CONF, de omgevingsvariabele voor OpenSSL-configuratie, niet hebt ingesteld, ziet u mogelijk een van de volgende berichten:

   • Er verschijnt een foutmelding dat de configuratiedata niet geladen kunnen worden. In dit geval typt u de bovenstaande opdracht opnieuw met de volgende parameter: -config ..\conf\openssl.cnf.

   • Een waarschuwing dat de directory /usr/local/ssl kan niet worden gevonden. Deze map bestaat niet in Windows, u kunt dit bericht gewoon negeren. Het bestand is succesvol aangemaakt.

   Zie het deel De omgevingsvariabele voor OpenSSL-configuratie instellen (optioneel) in dit artikel voor het instellen van een omgevingsvariabele voor OpenSSL-configuratie.

2. Voer de vereiste data in wanneer daarom wordt gevraagd.

   Opmerking: typ voor Algemene naam de naam van de Tableau-server. De naam van de Tableau-server is de URL die wordt gebruikt om de Tableau-server te bereiken. Als u bijvoorbeeld Tableau Server bereikt door tableau.example.com te typen in de adresbalk van uw browser, dan is tableau.example.com de algemene naam. Als de algemene naam niet wordt omgezet naar de servernaam, treden er fouten op wanneer een browser of Tableau Desktop verbinding probeert te maken met Tableau Server.

Stuur het CSR naar een commerciële certificaatautoriteit (CA) om het digitale certificaat aan te vragen. Zie voor informatie het Wikipedia-artikel Certificaatautoriteit(Link wordt in een nieuw venster geopend) en alle gerelateerde artikelen die u helpen beslissen welke CA u moet gebruiken.

Wanneer u de sleutel en het certificaat van de CA hebt, kunt u Tableau Server configureren voor het gebruik van SSL. Zie Externe SSL configureren voor de betreffende stappen.

Bij een standaardinstallatie van OpenSSL zijn sommige functies standaard niet ingeschakeld. Om SSL met meerdere domeinnamen te kunnen gebruiken, moet u deze stappen uitvoeren om het openssl.cnf-bestand te wijzigen voordat u de CSR genereert.

1. Open Windows Verkenner en blader naar de map Apache conf voor Tableau Server.

   Bijvoorbeeld: C:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\conf

2. Open openssl.cnf in een teksteditor en zoek de volgende regel: req_extensions = v3_req

   Deze regel kan worden uitgeschakeld met een hekje (#) aan het begin van de regel.

   

   Als de regel is uitgeschakeld met een opmerking, verwijder dan de # en tekenafstanden vanaf het begin van de regel.

3. Ga naar het deel [ v3_req ] van het bestand. De eerste paar regels bevatten de volgende tekst:

   # Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment

   Voeg de volgende regel in na de regel keyUsage:

   subjectAltName = @alt_names

   Als u een zelfondertekend SAN-certificaat maakt, doet u het volgende om het certificaat toestemming te geven om het certificaat te ondertekenen:

   1. Voeg de cRLSign en keyCertSign toe aan de regel keyUsage zodat deze er als volgt uitziet: keyUsage = nonRepudiation, digitalSignature, keyEncipherment, cRLSign, keyCertSign

   2. Voeg de volgende regel toe na de regel keyUsage: subjectAltName = @alt_names

4. Geef in het gedeelte [alt_namen] de domeinnamen op die u met SSL wilt gebruiken.

   DNS.1 = [domain1]
DNS.2 = [domain2]
DNS.3 = [etc]

   De onderstaande afbeelding toont de resultaten gemarkeerd, met tijdelijke tekst die u kunt vervangen door uw domeinnamen.

   

5. Sla het bestand op en sluit het af.

6. Voltooi de stappen in het deel Een aanvraag voor certificaatondertekening maken om naar een certificeringsinstantie te sturen hierboven.