Exemplo: Certificado SSL - Gerar uma chave e CSR

Importante: este exemplo tem por objetivo oferecer direções gerais a profissionais de TI experientes com requisitos e configuração de SSL. O procedimento descrito neste artigo é um dos vários métodos disponíveis que podem ser usados para gerar os arquivos exigidos. O processo descrito aqui deve ser tratado como um exemplo e não como uma recomendação.


Ao configurar o Tableau Server para que ele use a criptografia Secure Sockets Layer (SSL), isso o ajuda a garantir que o acesso ao servidor seja seguro, e que os dados enviados entre o Tableau Server e o Tableau Desktop estejam protegidos.

O Tableau Server usa o Apache, que inclui OpenSSL(O link abre em nova janela). Use o kit de ferramentas OpenSSL para gerar um arquivo chave e o Certificate Signing Request (Solicitação de assinatura de certificado, CSR) que podem ser usados para obter um certificado SSL assinado.

Observação: a partir das versões 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 e posteriores do Tableau Server, o Tableau Server executa o OpenSSL 3.1.

Etapas para gerar uma chave e CSR

Para configurar o Tableau Server para que use SSL, é necessário ter um certificado SSL. Para obter o certificado SSL, conclua estas etapas:

  1. Definir a variável do ambiente de configuração OpenSSL (opcional).
  2. Gerar um arquivo chave.
  3. Criar uma Solicitação de Assinatura de Certificado (CSR).
  4. Enviar o CSR a uma autoridade de certificação (CA) para obter o certificado SSL.
  5. Usar a chave e o certificado para configurar o Tableau Server para usar SSL.

É possível encontrar informações adicionais na página de Perguntas Frequentes do SSL(O link abre em nova janela) no site da Apache Software Foundation.

Configurar um certificado para vários nomes de domínio

O Tableau Server habilita o SSL para vários domínios. Para configurar esse ambiente, é necessário modificar o arquivo de configuração OpenSSL, openssl.conf, e configurar um certificado Subject Alternative Name (SAN) no Tableau Server. Consulte Para certificados SAN: modifique o arquivo de configuração OpenSSL a seguir.

Definir a variável do ambiente de configuração OpenSSL (opcional)

Para evitar usar o argumento -config com cada uso do openssl.exe, é possível usar a variável de ambiente OPENSSL_CONF, para garantir que o arquivo de configuração correto seja usado e que todas as alterações de configuração feitas em procedimentos subsequentes neste artigo gerem os resultados esperados (por exemplo, é preciso definir a variável de ambiente para adicionar um SAN ao seu certificado).

Abra um prompt de comando como um administrador e execute o seguinte comando:

set OPENSSL_CONF=c:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\conf\openssl.cnf

Observação: ao definir a variável do ambiente de configuração Open SSL, não coloque o caminho do arquivo entre aspas.

Gerar uma chave

Gere um arquivo de chave que será usado para gerar um pedido de assinatura de certificado.

  1. Abra o prompt de comando como administrador, e navegue pelo diretório Apache do Tableau Server. Por exemplo, execute o comando a seguir:

    cd C:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\bin

  2. Execute o comando a seguir para criar o arquivo chave:

    openssl.exe genrsa -out <yourcertname>.key 4096.

    Observações:
    • este comando usa um comprimento de 4096 bits para a chave. Escolha um comprimento de bit com, no mínimo, 2048 bits, pois a comunicação criptografada com um comprimento de bit menor é menos segura. Se um valor não for proporcionado, 512 bits é usado.
    • Para criar chaves RSA PKCS#1 com as versões 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 e posteriores do Tableau Server, você deve usar a opção adicional -traditional ao executar o comando openssl genrsa baseado no OpenSSL 3.1. Para obter mais informações sobre as opções, consulte https://www.openssl.org/docs/man3.1/man1/openssl-rsa.html(O link abre em nova janela).

Criar uma solicitação de assinatura de certificado a ser enviada a uma autoridade de certificação

Use o arquivo de chave criado com o procedimento acima para gerar a Certificate Signing Request (Solicitação de Assinatura de Certificado, CSR). Envie o CSR para uma autoridade de certificação (CA) para obter o certificado assinado.

Importante: se deseja configurar um certificado SAN para usar o SSL em vários domínios, primeiro conclua as etapas na seção Para certificados SAN: modifique o arquivo de configuração do OpenSSL e, em seguida, retorne a essa etapa para gerar um CSR.

  1. Execute o comando a seguir para criar um arquivo de certificate signing request (solicitação de assinatura de certificado, CSR):

    openssl.exe req -new -key yourcertname.key -out yourcertname.csr.

    Se a variável do ambiente de configuração OpenSSL não foi definida,OPENSSL_CONF, uma das mensagens a seguir poderão aparecer:

    • Uma mensagem de erro sobre a falha no carregamento das informações de configuração. Neste caso, redigite o comando acima com o seguinte parâmetro:-config ..\conf\openssl.cnf.

    • Um aviso que o diretório /usr/local/ssl não pôde ser encontrado. Este diretório não existe no Windows, basta ignorar esta mensagem. O arquivo será criado com sucesso.

    Para definir uma variável de ambiente de configuração OpenSSL, consulte a seção Definir a variável do ambiente de configuração OpenSSL (opcional) neste artigo.

  2. Quando solicitado, insira as informações obrigatórias.

    Observação: para Nome comum,digite o nome do Tableau Server. O nome do Tableau Server é a URL que será usada para acessar o Tableau Server. Por exemplo, se o Tableau Server for acessado ao digitar tableau.example.com na barra de endereços do navegador, então o tableau.example.com é o nome comum. Se o nome comum não coincidir com o nome do servidor, haverá erros quando um navegador ou o Tableau Desktop tentar conectar-se ao Tableau Server.

Enviar o CSR a uma autoridade de certificação para obter o certificado SSL

Envie o CSR a um certificate authority (autoridade de certificação, CA) comercial para solicitar o certificado digital. Para informações, consulte o artigo da Wikipedia Autoridade de certificação(O link abre em nova janela) e outros artigos relacionados que possam ajudá-lo a decidir qual CA usar.

Usar a chave e o certificado para configurar o Tableau Server

Quando você tem a chave e o certificado da CA, pode configurar o Tableau Server para usar o SSL. Para ver as etapas, consulte Configurar SSL externo.

Para certificados SAN: modifique o arquivo de configuração do OpenSSL

Na instalação padrão do OpenSSL, alguns recursos não são habilitados por padrão. Para usar o SSL com vários nomes de domínio, antes de gerar o CSR, complete estas etapas para modificar o arquivo openssl.cnf.

  1. Abra o Windows Explorer e navegue até a pasta conf do Apache para o Tableau Server.

    Por exemplo: C:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\conf

  2. Abra openssl.cnf em um editor de texto e encontre a seguinte linha: req_extensions = v3_req

    Esta linha pode ter recebido comentários com o sinal (#) no início.

    Se a linha tiver comentários, retire-os apagando os caracteres # e espaço do começo da linha.

  3. Vá até a seção [ v3_req ] do arquivo. As primeiras linhas apresentam o seguinte texto:

    # Extensions to add to a certificate request.
    basicConstraints = CA:FALSE
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment

    Após a linha keyUsage, insira a seguinte linha:

    subjectAltName = @alt_names.

    Se você estiver criando um certificado SAN autoassinado, faça o seguinte para conceder a permissão de assinatura no certificado:

    1. Añada <code>cRLSign</code> y <code>keyCertSign</code> a la línea <strong>keyUsage</strong> del siguiente modo: keyUsage = nonRepudiation, digitalSignature, keyEncipherment, cRLSign, keyCertSign

    2. Após a linha keyUsage, insira a seguinte linha:subjectAltName = @alt_names

  4. Na seção [alt_names], forneça os nomes de domínio que deseja usar com o SSL.

    DNS.1 = [domain1].
    DNS.2 = [domain2]
    DNS.3 = [etc]

    A imagem a seguir mostra os resultados em destaque, com o texto de marcação que seria substituído pelos seus nomes de domínio.

  5. Salve e feche o arquivo.

  6. Conclua as etapas na seção acima Criar uma solicitação de assinatura de certificado a ser enviada a uma autoridade de certificação.

Informações adicionais

Caso prefira usar uma versão diferente do OpenSSL, faça o download em Open SSL for Windows(O link abre em nova janela).

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!