Configurar TLS no Independent Gateway
O suporte a TLS para Independent Gateway está no Tableau Server 2022.1.2 e posterior.
Tanto o Tableau Server quanto o Tableau Server Independent Gateway usam o módulo SSL (mod_ssl) criado com OpenSSL para implementar os recursos TLS (Transport Layer Security).
Devido à sua complexidade e natureza sensível à segurança, recomendamos que a configuração do TLS seja planejada e implementada por um profissional de TI que esteja familiarizado com o TLS no Apache httpd.
Em muitos casos, usamos "SSL" nos nomes de coisas para compatibilidade com as propriedades ou conceitos de configuração TSM ou Apache httpd existentes. "SSL" na verdade se refere a versões de protocolo agora consideradas inseguras e obsoletas. No entanto, o nome legado persiste e geralmente é usado de forma intercambiável com TLS como convenção. O Tableau Server e o Independent Gateway não são compatíveis com protocolos da era SSL.
Exemplo de configuração do TSL
Para obter um exemplo de configuração TLS de ponta a ponta, consulte Configurar SSL/TLS do balanceador de carga para o Tableau Server(O link abre em nova janela) no Guia de implantação corporativa. O tópico mostra um exemplo passo a passo de configuração do TLS no Tableau Server no Linux em uma implantação da AWS. Embora o exemplo descreva o processo para Linux, o exemplo de configuração também é útil para o Tableau Server no Windows.
Visão geral da configuração do TSL
Você pode configurar o TLS para HTTPS em qualquer uma das seguintes seções do caminho da Internet para o Tableau Server:
- Da rede externa (Internet ou balanceador de carga front-end) para o Independent Gateway
- De Independent Gateway para Tableau Server
- Para o processo de manutenção (HK) do Tableau Server para o Independent Gateway
Este tópico fornece procedimentos para configurar cada um desses saltos.
Você precisará fazer alterações de configuração nos computadores do Independent Gateway e no cluster do Tableau Server.
Requisitos e considerações do certificado
Os requisitos de certificado para o Independent Gateway são os mesmos especificados para o Tableau Server "SSL externo". Consulte Requisitos do certificado SSL.
Outras considerações:
- Para simplificar o gerenciamento e a implantação de certificados e como prática recomendada de segurança, recomendamos o uso de certificados gerados por uma autoridade de certificação (CA) de terceiros confiável. Como alternativa, você pode gerar certificados autoassinados ou usar certificados de uma PKI para TLS. Nesse caso, preste atenção às opções de configuração para confiar em certificados de CA e validar certificados.
- Se sua implementação exigir o uso de um arquivo de cadeia de certificados, consulte o artigo da Base de Conhecimento, Configurar TLS no Independent Gateway ao usar um certificado que tenha uma cadeia de certificados(O link abre em nova janela) .
- Se você estiver executando várias instâncias do Independent Gateway, deverá distribuir certificados para cada computador no mesmo local (caminho do arquivo).
- Se você estiver executando uma implantação do Tableau Server com mais de um nó, os certificados carregados com comandos do TSM serão distribuídos automaticamente entre os nós. Execute todos os comandos do TSM no nó inicial.
Configurações globais de TLS
As configurações a seguir são globais. As opções de configuração abaixo referem-se às chaves de configuração que devem ser definidas com o comando tsm configuration set. Os comandos devem incluir a opção --force-keys.
É improvável que você precise alterar esses valores.
Observe que cada par de chaves compartilha o mesmo formato de nomenclatura, em que a cadeia de caracteres ,tsig, define o valor do Independent Gateway. A chave que não inclui a cadeia de caracteres, tsig, define o valor do processo de gateway no cluster do Tableau Server.
Se você não definir um valor para a chave tsig, o valor padrão do gateway do Tableau Server será usado.
gateway.tsig.httpd.socacheougateway.httpd.socachePadrão:
shmcbValor alternativo:
dbmO tipo de armazenamento do Cache de Sessão SSL entre processos. Para obter mais informações sobre os tipos de armazenamento, consulte Diretiva SSLSessionCache(O link abre em nova janela) no site da Web Apache.
gateway.tsig.httpd.shmcb.sizeougateway.httpd.shmcb.sizePadrão:
2048000Quantidade de memória, em bytes, a ser usada para o buffer circular ao usar o tipo de armazenamento
shmcb.
Observação: outra chave global é gateway.tsig.ssl.key.passphrase.dialog. Se aplicável, há apenas uma única configuração para gateway.tsig.ssl.key.passphrase.dialog. Por design, ele coleta senhas para todos os arquivos de chave privada criptografados na configuração. As seções aplicáveis posteriormente neste tópico descrevem o uso dessa chave.
TLS externo para Independent Gateway
O processo de configuração de conexões externas para encerrar o TLS nos servidores de Independent Gateway é conceitualmente semelhante a como o "SSL externo" é configurado para um cluster do Tableau Server. A mecânica é diferente. O TSM não distribui automaticamente certificado e material de chave para nós de Independent Gateway. Além disso, o Independent Gateway não fornece automaticamente uma maneira de fornecer a senha da chave TLS opcional na inicialização.
As etapas a seguir descrevem como configurar o TLS de fonte externa para computadores Independent Gateway.
Etapa 1: distribuir arquivos para computadores de Independent Gateway
- Coloque certificados e arquivos relacionados em um local e com permissões que permitam que o serviço Independent Gateway (tsig-httpd) os leia. Recomendamos restringir o acesso aos arquivos de chave de forma que apenas o serviço Independent Gateway possa lê-los.
- Coloque todos os arquivos, certificados e chaves exatamente nos mesmos locais em todos os computadores do Independent Gateway. Coloque os arquivos fora dos caminhos TSIG_INSTALL e TSIG_DATA para que eles não sejam removidos se você reinstalar ou atualizar o Independent Gateway.
Etapa 2: atualizar variáveis de ambiente em computadores do Independent Gateway
Em cada computador do Independent Gateway, defina as variáveis de ambiente TSIG_PORT e TSIG_PROTOCOL para443 (por convenção, mas qualquer número de porta TCP não utilizado é suportado) e https respectivamente.
Altere esses valores executando novamente a cadeia de caracteres de pós-instalação para fornecer um valor diferente para TSIG_PORT e TSIG_PROTOCOL. Por padrão, o script está em C:\Program Files\Tableau\Tableau Server\independentgateway\scripts\initialize-tsig.bat.
Etapa 3: definir as propriedades de configuração do TLS em Tableau Server
A maioria das chaves de configuração do TSM na tabela a seguir são derivadas das diretivas httpd do Apache. Assim, os valores de configuração para essas chaves de configuração do TSM são mapeados diretamente para os valores válidos para a diretiva Apache correspondente. Os links para as diretivas correspondentes estão incluídos na tabela a seguir.
Em alguns casos, a configuração usará configurações de fallback se uma chave específica não estiver definida. Elas são chamadas na tabela abaixo.
As opções de configuração na tabela a seguir referem-se às chaves de configuração que você deve definir com o comando tsm configuration set. Todos os comandos devem incluir a opção--force-keys. Por exemplo:
tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys
Depois de definir as chaves de configuração, você deve executar tsm pending-changes apply.
| Propriedade de configuração | Descrição | Diretiva correspondente do Apache |
|---|---|---|
| gateway.tsig.ssl.enabled | Obrigatório. Habilita TLS. Deve ser definido para | N/A |
| gateway.tsig.ssl.cert.file_name | Obrigatório. Caminho + nome de arquivo do arquivo de certificado para Independent Gateway. Por exemplo, | SSLCertificateFile(O link abre em nova janela) |
| gateway.tsig.ssl.key.file_name | Obrigatório. Caminho + nome do arquivo de chave de certificado para o Independent Gateway. Por exemplo, | SSLCertificateKeyFile(O link abre em nova janela) |
| gateway.tsig.ssl.key.passphrase.dialog | Se sua chave requer uma senha, você deve configurar essa chave com a string correta esperada pela diretiva Apache httpd SSLPassPhraseDialog. Não insira a senha literal para esta chave. Consulte a documentação do Apache para obter informações sobre como configurar essa chave. Essa configuração é global para o Independent Gateway. | Caixa de diálogo SSLPassPhrase(O link abre em nova janela) |
gateway.tsig.ssl.protocols Fallback: ssl.protocols | Especifique as versões suportadas de SSL/TLS. Consulte Lista de verificação do reforço de segurança para obter mais informações sobre a configuração padrão. | SSLProtocols(O link abre em nova janela) |
gateway.tsig.ssl.ciphersuite Fallback: ssl.ciphersuite | Especifica as cifras que o cliente tem permissão para negociar para conexão SSL. | SSLCipherSuite(O link abre em nova janela) |
| gateway.tsig.ssl.client_certificate_login.required | Defina este valor como Você também deve definir a propriedade | N/A |
| gateway.tsig.ssl.cacert.file | Especifica o arquivo que contém os certificados de CA concatenados para o processo de autenticação do cliente. | SSLCACertificateFile(O link abre em nova janela) |
| gateway.tsig.ssl.revocation.file | Especifica o arquivo que contém as listas de revogação de CA concatenadas para clientes que se conectam ao Independent Gateway. | SSLCARRevocationFile(O link abre em nova janela) |
| gateway.tsig.ssl.redirect | Quando o gateway independente tiver sido configurado para TLS, esta opção forçará as solicitações do cliente da porta 80 (padrão) a redirecionar para o TLS. Padrão: | N/A |
| gateway.tsig.ssl.redirect_from_port | Quando Padrão: | N/A |
Independent Gateway no Tableau Server
Esta seção descreve como criptografar a conexão entre o Independent Gateway e o Tableau Server.
Etapa 1: configurar e habilitar o TLS no Tableau Server
Consulte Configurar o SSL para tráfego de HTTP externo e do Tableau Server.
Observe que "SSL" é, na verdade, uma implementação de TLS e "externo" refere-se a uma conexão externa ao Tableau Server. Nesse cenário, o Independent Gateway é a conexão "externa".
Recomendamos habilitar e verificar se os clientes podem se conectar com o TLS diretamente ao Tableau Server antes de configurar o Independent Gateway.
Etapa 2: distribuir arquivos de certificado em computadores do Independent Gateway
Você precisará distribuir arquivos de certificado nos computadores do Independent Gateway se uma das seguintes condições for verdadeira:
- Você está usando certificados autoassinados ou PKI para os certificados TLS na implantação do Tableau Server.
- Você está habilitando o TLS mútuo na conexão do Independent Gateway com o Tableau Server.
Assim como todos os arquivos relacionados a TLS em computadores com Independent Gateway, você deve colocar os arquivos nos mesmos caminhos em cada computador. Além disso, todos os nomes de arquivo para arquivos compartilhados TLS devem ser os mesmos.
Etapa 3: definir as propriedades de configuração do TLS em Tableau Server
A maioria das chaves de configuração do TSM na tabela a seguir são derivadas das diretivas httpd do Apache. Assim, os valores de configuração para essas chaves de configuração do TSM são mapeados diretamente para os valores válidos para a diretiva Apache correspondente. Os links para as diretivas correspondentes estão incluídos na tabela a seguir.
Em alguns casos, a configuração usará configurações de fallback se uma chave específica não estiver definida. Elas são chamadas na tabela abaixo.
As opções de configuração na tabela a seguir referem-se às chaves de configuração que você deve definir com o comando tsm configuration set. Todos os comandos devem incluir a opção--force-keys. Por exemplo:
tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys
Depois de definir as chaves de configuração, você deve executar tsm pending-changes apply.
| Propriedade de configuração | Descrição | Diretiva correspondente do Apache |
|---|---|---|
gateway.tsig.ssl.proxy.cacertificatefile | Se sua organização usa um certificado TLS autossingrado ou gerado por PKI para o Tableau Server, você deve especificar um caminho para o arquivo de certificado CA raiz. Esse arquivo de certificado CA raiz deve ser armazenado nos computadores do Independent Gateway. | SSLProxyCACertificateFile (O link abre em nova janela) |
gateway.tsig.ssl.proxy.protocols Fallback: ssl.protocols | Especifique as versões suportadas de SSL/TLS. Consulte Lista de verificação do reforço de segurança para obter mais informações sobre a configuração padrão. | SSLProtocols(O link abre em nova janela) |
gateway.tsig.ssl.proxy.ciphersuite Fallback: ssl.ciphersuite | Especifica as cifras que o cliente tem permissão para negociar para conexão SSL. | SSLCipherSuite(O link abre em nova janela) |
| gateway.tsig.ssl.proxy.machinecertificatefile | Para TLS mútuo. Especifica o arquivo que contém os pares de chave de certificado concatenados para autenticação do Independent Gateway para o Tableau Server. | SSLProxyMachineCertificateFile(O link abre em nova janela) |
| gateway.tsig.ssl.proxy.verify | Especifique se o Independent Gateway deve verificar o certificado apresentado pelo Tableau Server. O padrão é | SSLProxyVerify(O link abre em nova janela) |
| gateway.tsig.ssl.proxy.checkpeername | Especifique se o Independent Gateway inspeciona o certificado do Tableau Server para verificar se o nome da entidade corresponde ao nome do servidor. O padrão é | SSLProxyCheckPeerName(O link abre em nova janela) |
| gateway.tsig.ssl.proxy.checkpeerexpire | Especifique se o Independent Gateway inspeciona o certificado do Tableau Server para verificar a validade: O padrão é | SSLProxyCheckPeerExpire(O link abre em nova janela) |
Etapa 4: carregar o certificado de CA raiz para o Tableau Server
Se o certificado TLS que você está usando nos computadores do Independent Gateway for um certificado autoassinado ou gerado por PKI, você deverá executar esta etapa adicional. Se o certificado TLS que você está usando no computador do Independent Gateway for um certificado de uma autoridade de certificação de terceiros confiável, você poderá ignorar esta etapa.
Copie o certificado de CA raiz usado para os computadores do Independent Gateway para o nó inicial do Tableau Server e execute os seguintes comandos:
tsm security custom-cert add -c <root-certificate-file-name>.pem tsm pending-changes apply
Conexão de manutenção do Tableau Server e o Independent Gateway
O processo de manutenção (HK) mantém o estado de configuração entre a implantação do Tableau Server de back-end e o Independent Gateway.
Quando o Independent Gateway é instalado, a configuração padrão fornece uma conexão HTTP não criptografada. O Independent Gateway escuta solicitações de manutenção originadas no cluster do Tableau Server (conforme você o definiu durante a instalação).
Se você estiver executando várias instâncias do Independent Gateway, todos os servidores deverão aceitar solicitações de manutenção com TLS ou todos sem TLS. Esta seção descreve como configurar a conexão HK para TLS. Esse processo requer a reinicialização do Tableau Server e resultará em tempo de inatividade.
Assim como nos cenários TLS anteriores descritos acima, muitas das alterações de configuração para a conexão HK são definidas nas propriedades de configuração gerenciadas pelo cluster do Tableau Server. No entanto, a configuração TLS de HK requer etapas adicionais no Independent Gateway.
Etapa 1: distribuir arquivos para computadores de Independent Gateway
Se você habilitou o TLS com rede externa e Independent Gateway, você pode usar o mesmo certificado e arquivos de chave para a conexão HK.
Se você estiver usando os mesmos ativos, o único outro arquivo de certificado que você precisa distribuir é o certificado CA raiz do certificado usado pelo Tableau Server. Se o certificado TLS apresentado pelo Tableau Server for gerado por uma autoridade de certificação confiável de terceiros, você não precisará copiar um certificado de autoridade de certificação raiz para os computadores do Independent Gateway.
- Coloque certificados e arquivos relacionados em um local e com permissões que permitam que o serviço Independent Gateway (tsig-httpd) os leia. Recomendamos restringir o acesso aos arquivos de chave de forma que apenas o serviço Independent Gateway possa lê-los.
- Coloque todos os arquivos, certificados e chaves exatamente nos mesmos locais em todos os computadores do Independent Gateway.
Etapa 2: importar o certificado de CA raiz do Independent Gateway para o armazenamento confiável do Tableau Server
Se o certificado TLS que você está usando nos computadores do Independent Gateway for um certificado autoassinado ou gerado por PKI, você deverá executar esta etapa adicional. Se o certificado TLS que você está usando no computador do Independent Gateway for um certificado de uma autoridade de certificação de terceiros confiável, você poderá ignorar esta etapa.
Você só pode carregar um certificado de CA raiz para o Tableau Server. Portanto, se você já carregou um certificado de CA raiz, o mesmo certificado de CA raiz deve assinar o certificado que você usará para conexão HK.
Copie o certificado de CA raiz usado para os computadores do Independent Gateway para o nó inicial do Tableau Server e execute os seguintes comandos:
tsm security custom-cert add -c <root-certificate-file-name>.pem tsm pending-changes apply
Etapa 3: atualizar variáveis de ambiente em computadores do Independent Gateway
Em cada computador do Independent Gateway , defina a variável ambiental TSIG_HK_PROTOCOL parahttps . Você pode especificar uma porta alternativa para HK (o padrão é 21319) configurando também a variável de ambiente TSIG_HK_PORT.
Altere esses valores executando novamente a cadeia de caracteres de pós-instalação para fornecer um valor diferente para TSIG_HK_PROTOCOL e TSIG_HK_PORT. Por padrão, o script está em C:\Program Files\Tableau\Tableau Server\independentgateway\scripts\initialize-tsig.bat.
Etapa 4: atualizar httpd.conf.stub no Independent Gateway
Você deve atualizar o arquivo httpd.conf.stub em cada servidor Independent Gateway . O arquivo httpd.conf.stub é usado para propagar a configuração global do httpd.
O arquivo está localizado em TSIG_DATA/config/httpd.conf.stub.
Abra o arquivo
httpd.conf.stubem um editor de texto. Você deve atualizar o bloco<VirtualHost *:${TSIG_HK_PORT}>com detalhes de configuração HK. O exemplo a seguir mostra as alterações necessárias:<VirtualHost *:${TSIG_HK_PORT}> SSLEngine on #TLS# SSLHonorCipherOrder on #TLS# SSLCompression off SSLCertificateFile /etc/ssl/certs/tsig-ssl.crt SSLCertificateKeyFile /etc/ssl/private/tsig-ssl.key SSLCACertificateFile /etc/ssl/certs/rootTS-CACert.pem #TLS# SSLCARevocationFile /path/to/file </VirtualHost>Observações:
- Por padrão, cada linha no bloco
<VirtualHost *:${TSIG_HK_PORT}>é comentado pela cadeia de caracteres,#TLS#. Para "habilitar" uma linha no bloco, exclua a cadeia de caracteres#TLS#no início da linha. - Como em todas as configurações do httpd, cada arquivo referenciado requer um caminho absoluto para o arquivo.
SSLCACertificateFileespecifica o certificado de CA raiz para a CA que gera o certificado apresentado pelo Tableau Server. Você só precisa definir isso se o certificado TLS usado pelo Tableau Server for autoassinado ou gerado por uma PKI.
- Por padrão, cada linha no bloco
Pare o serviço tsig-httpd.
Você começará a receber verificações de status com falha neste ponto, indicando no TSM que seu componente de Independent Gateway está degradado.
Cópia de
httpd.conf.stubparahttpd.conf.O arquivo
httpd.confestá no mesmo diretório. Substitua o arquivohttpd.confpelo arquivohttpd.conf.stub.Inicie o serviço tsig-httpd.
Você continuará recebendo verificações de status com falha neste momento, indicando no TSM que seu componente de Independent Gateway está degradado. Essas verificações de status falharão até que você tenha concluído a configuração conforme descrito nas etapas a seguir.
Etapa 5: defina as propriedades de configuração do TLS no Tableau Server
A aplicação das alterações de configuração requer uma reinicialização do servidor. Para evitar longos tempos de espera, recomendamos interromper o servidor antes de aplicar as alterações definidas aqui. Na Etapa 6, você executará um comando de atualização e reiniciará o TSM. Parar o TSM nesta fase da configuração resulta em um tempo de inatividade mais curto.
Pare o TSM. Execute o seguinte comando:
tsm stop
A maioria das chaves de configuração do TSM na tabela a seguir são derivadas das diretivas httpd do Apache. Assim, os valores de configuração para essas chaves de configuração do TSM são mapeados diretamente para os valores válidos para a diretiva Apache correspondente. Os links para as diretivas correspondentes estão incluídos na tabela a seguir.
Existem nomes de propriedades de configuração do TSM que incluem o nó
hkno prefixo:gateway.tsig.hk.xyz.abc. Se configurados, esses valores são usados para a configuração HK TLS. Se não for definido, muitas propriedades de configuração usarão o fallback paragateway.tsig.xyz.abc, que podem ou não recairgateway.xyz.abc. A propriedade de configuração de fallback é listada quando relevante.As opções de configuração na tabela a seguir referem-se às chaves de configuração que você deve definir com o comando
tsm configuration set. Todos os comandos devem incluir a opção--force-keys. Por exemplo:tsm configuration set -k gateway.tsig.hk.ssl.enabled -v true --force-keys
Propriedade de configuração Descrição Diretiva correspondente do Apache gateway.tsig.hk.ssl.enabled
(Sem fallback)
Obrigatório.
Habilita TLS. Deve ser definido para
true.N/A gateway.tsig.hk.ssl.cert.file_name
Fallback:
gateway.tsig.ssl.cert.file_name
Caminho + nome de arquivo do arquivo de certificado para Independent Gateway. Por exemplo,
/etc/ssl/certs/tsig-ssl.crt.SSLCertificateFile(O link abre em nova janela) gateway.tsig.hk.ssl.key.file_name
Fallback:
gateway.tsig.ssl.key.file_name
Caminho + nome do arquivo de chave de certificado para o Independent Gateway. Por exemplo,
/etc/ssl/keys/tsig-ssl.key.SSLCertificateKeyFile(O link abre em nova janela) gateway.tsig.ssl.key.passphrase.dialog
(Propriedade global)
Se sua chave requer uma senha, você deve configurar essa chave com a string correta esperada pela diretiva Apache httpd SSLPassPhraseDialog.
Essa configuração é global para o Independent Gateway.Caixa de diálogo SSLPassPhrase(O link abre em nova janela) gateway.tsig.hk.ssl.protocols
Fallbacks:
gateway.tsig.ssl.protocols
ssl.protocols
Especifique as versões suportadas de SSL/TLS. Consulte Lista de verificação do reforço de segurança para obter mais informações sobre a configuração padrão. SSLProtocols(O link abre em nova janela) gateway.tsig.hk.ssl.ciphersuite
Fallbacks:
gateway.tsig.ssl.ciphersuite
ssl.ciphersuite
Especifica as cifras que o cliente tem permissão para negociar para conexão SSL. SSLCipherSuite(O link abre em nova janela) gateway.tsig.hk.ssl.client_certificate_login.required
(Sem fallback)
Defina este valor como
truepara habilitar o TLS mútuo nesta conexão.Você também deve definir a propriedade
gateway.tsig.hk.ssl.cacert.fileconforme especificado abaixo.N/A gateway.tsig.hk.ssl.cacert.file
Fallback:
gateway.tsig.ssl.cacert.file
Especifica o arquivo que contém os certificados de CA concatenados para o processo de autenticação do cliente. SSLCACertificateFile(O link abre em nova janela) gateway.tsig.hk.ssl.revocation.file
Fallback:
gateway.tsig.hk.ssl.revocation.file
Especifica o arquivo que contém as listas de revogação de CA concatenadas para clientes que se conectam ao Independent Gateway. SSLCARRevocationFile(O link abre em nova janela) Aplique as alterações. Execute o seguinte comando:
tsm pending-changes apply.
Etapa 6: atualizar o arquivo de configuração JSON do Independent Gateway
A etapa final é atualizar a configuração do Independent Gateway com um arquivo JSON refletindo a mudança parahttps e, se aplicável, outros números de porta.
Consulte o tópico de instalação para obter mais informações sobre como editar este arquivo. Consulte Etapa 3: habilitar o Independent Gateway no Tableau Server.
Depois de atualizar o arquivo JSON, execute os seguintes comandos:
tsm topology external-services gateway update -c tsig.json tsm start
Solução de problemas
Para obter dicas de solução de problemas, consulte Solução de problemas do Independent Gateway do Tableau Server(O link abre em nova janela) no Guia de implantação corporativa (EDG). O EDG fornece exemplos de implantação do Tableau Server no Linux. As etapas de solução de problemas são úteis para as versões Windows ou Linux do Tableau Server.