Configurar o SSL para tráfego de HTTP externo e do Tableau Server

Configure o Tableau Server para usar comunicações criptografadas por SSL (Secure Sockets Layer) em todo o tráfego HTTP externo. A configuração do SSL garante que o acesso ao Tableau Server seja seguro e que as informações confidenciais transmitidas entre o servidor e os clientes do Tableau (como Tableau Desktop, API REST, extensão do Analytics e assim por diante) sejam protegidas. As etapas sobre como configurar o servidor para SSL são descritas neste tópico; no entanto, primeiro, adquira um certificado de uma autoridade confiável e depois importe os arquivos de certificado no Tableau Server.

Para obter informações básicas sobre o SSL e o Tableau Server, consulte Como usar o SSL para criptografar a comunicação com o Tableau Server(Link opens in a new window) no Guia de instalação para todos.

A autenticação por SSL mútuo não é compatível com o Tableau Mobile.

Requisitos do certificado SSL

Adquira um certificado Apache SSL de uma autoridade confiável (por exemplo, Verisign, Thawte, Comodo, GoDaddy). Você também pode usar um certificado interno emitido por sua empresa. Certificados curinga, que permitem que você use SSL com muitos nomes de host dentro do mesmo domínio, também têm suporte.

Siga as diretrizes e os requisitos ao obter um certificado SSL para comunicação externa de e para o Tableau Server:

  • Todos os arquivos de certificado deve ser certificados X509 codificados por PEM válidos com a extensão .crt.

  • Use um certificado SSL SHA-2 (256 ou 512 bits). A maioria dos navegadores não se conectam a um servidor que apresenta um certificado SHA-1.

  • Além do arquivo de certificado, você também deve adquirir o arquivo de chave de certificado SSL correspondente. O arquivo chave deve ser um arquivo chave privado RSA ou DSA (com a extensão .key por convenção).

    Você pode usar a proteção por frase secreta no arquivo de chave. A frase secreta inserida durante a configuração será criptografada em períodos de inatividade. No entanto, se você desejar usar o mesmo certificado para SSL e SAML, use um arquivo de chave que não seja protegido por frase secreta.

  • Arquivo da cadeia de certificados SSL: um arquivo da cadeia de certificados é necessário para o Tableau Desktop no Mac e para o Tableau Prep Builder no Windows. O arquivo em cadeia também é necessário para o aplicativo Tableau Mobile se a cadeia de certificados do Tableau Server não for confiável pelo sistema operacional iOS ou Android no dispositivo móvel.

    O arquivo de cadeia é uma concatenação de todos os certificados que formam a cadeia de certificados para o certificado do servidor. Todos os certificados no arquivo devem ser x509 codificados por PEM, e o arquivo deve ter a extensão .crt (não .pem).

  • O Tableau Server oferece suporte a certificados curinga para diversos subdomínios.

  • O Tableau Server suporta certificados que listam vários domínios, endereços de IP ou nomes de host no campo Subject Alternative Names (SAN).

Observação: se você planeja configurar o Tableau Server para logon único usando SAML, consulte Uso do certificado SSL e arquivos-chave para SAML nos requisitos do SAML para ajudar a determinar se os mesmos arquivos de certificado devem ser usados para o SSL e o SAML.

Configurar SSL para um cluster

É possível configurar um cluster do Tableau Server para usar SSL. Se o nó inicial estiver executando o processo de gateway (o que ele faz por padrão), é necessário configurar o SSL apenas nesse nó, usando as etapas descritas neste tópico.

SSL com vários gateways

Um cluster do Tableau Server de alta disponibilidade pode incluir diversos gateways, antecedidos por um balanceador de carga. Se estiver configurando este tipo de cluster para SSL, há as seguintes opções:

  • Configurar o balanceador de carga para SSL: o tráfego é codificado dos navegadores da Web do cliente até o balanceador de carga. O tráfego do balanceador de carga para os processos de gateway do Tableau Server não é criptografado. Nenhuma configuração SSL é necessária no Tableau Server. Tudo é controlado pelo balanceador de carga.

  • Configurar o Tableau Server para SSL: o tráfego é codificado dos navegadores da Web do cliente até o balanceador de carga e do balanceador de carga aos processos de gateway do Tableau Server. Para obter mais informações, avance para a próxima seção.

Informações de configuração adicionais dos ambientes de cluster do Tableau Server

Quando quiser usar o SSL em todos os nós do Tableau Server que executam um processo de gateway, conclua as etapas a seguir.

  1. Configure o balanceador de carga para passagem SSL.

    Ou então, se desejar usar uma porta diferente da 443, poderá configurar o balanceador de carga externo para encerrar a porta não padrão do cliente. Neste cenário, o próximo passo é configurar o balanceador de carga para se conectar ao Tableau Server pela porta 443. Para obter assistência, consulte a documentação fornecida sobre o balanceador de carga.

  2. Confira se o certificado do SSL foi emitido com o nome de host do balanceador de carga.

  3. Configure o nó do Tableau Server para o SSL.

  4. Se você estiver usando SSL mútuo, faça upload do arquivo de certificado SSL CA. Consulte tsm authentication mutual-ssl <commands>.

O certificado SSL e os arquivos de chave serão distribuídos para cada nó como parte do processo de configuração.

Preparação do ambiente

Ao obter arquivos de certificado da CA, salve-os em um local acessível pelo Tableau Server e observe os nomes dos arquivos .crt e .key do certificado, bem como o local em que foram salvos. Será necessário fornecer essas informações para o Tableau Server ao habilitar o SSL.

Configurar o SSL no Tableau Server

Use o método mais confortável para você.

  1. Abra o TSM em um navegador:

    https://<tsm-computer-name>:8850. Para obter mais informações, consulte Fazer logon na interface do usuário na Web do Tableau Services Manager.

  2. Na guia Configuração, selecione Segurança > SSL externo.

    Observação: se você estiver atualizando ou alterando uma configuração existente, clique em Redefinir para limpar as configurações existentes antes de prosseguir.

  3. Em SSL do servidor Web externo, selecione Habilitar SSL para comunicação do servidor.

  4. Faça upload do certificado e arquivos-chave e, caso necessário para seu ambiente, faça upload do arquivo de cadeia e insira a fase secreta de chave:

    Configure  SSL screenshot

    Se você estiver executando o Tableau Server em uma implantação distribuída, esses arquivos serão automaticamente distribuídos para cada nó apropriado no cluster.

  5. Clique em Salvar alterações pendentes.

  6. Clique em Alterações pendentes na parte superior da página:

  7. Clique em Aplicar alterações e reiniciar.

Depois de copiar os arquivos de certificado no computador local, execute os comandos a seguir:

tsm security external-ssl enable --cert-file <path-to-file.crt> --key-file <path-to-file.key>

tsm pending-changes apply

Consulte a referência de comando em tsm security external-ssl enable para determinar se deseja incluir opções adicionais a external-ssl enable. O Tableau tem recomendações específicas para a opção --protocols.

O comando external-ssl enable command importa as informações dos arquivos .crt e .key. Quando este comando é executado em um nó de um cluster do Tableau Server, ele também distribui as informações para qualquer outro nó de gateway.

Se as alterações pendentes exigirem uma reinicialização do servidor, o comando pending-changes apply exibirá um prompt para que você saiba que ocorrerá uma reinicialização. Esse prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.

Redirecionamento e registros de porta

Após configurar o servidor para SSL, ele aceita solicitações para a porta não SSL (o padrão é a porta 80) e automaticamente redireciona para a porta SSL 443.

Observação: o Tableau Server oferece suporte apenas à porta 443 como a porta segura. Ele não pode ser executado em um computador em que qualquer outro aplicativo esteja usando a porta 443.

Os erros de SSL são registrados no seguinte local. Use esse registro para solucionar problemas de validação e criptografia:

\ProgramData\Tableau\Tableau Server\data\tabsvc\logs\httpd\error.log

Alterar ou atualizar o certificado SSL

Depois de configurar o SSL, talvez seja necessário atualizar o certificado periodicamente. Em alguns casos, talvez você precise alterar o certificado para mudanças operacionais no ambiente de TI. Em ambos os casos, você deve usar o TSM para substituir o certificado SSL que já foi configurado para SSL externo.

Não copie um novo certificado no diretório de arquivos do sistema operacional. Em vez disso, ao adicionar o certificado com a interface do usuário na Web TSM ou o comando tsm security external-ssl enable, o arquivo do certificado é copiado para o armazenamento de certificados apropriado. Em uma implantação distribuída, o certificado também é copiado entre os nós no cluster.

Para alterar ou atualizar o certificado SSL (e o arquivo-chave correspondente, se necessário), siga as etapas na seção anterior deste tópico, Configurar o SSL no Tableau Server.

Depois de alterar o certificado, você deve executar o tsm pending-changes apply para reiniciar os serviços do Tableau Server. Também recomendamos reiniciar quaisquer outros serviços no computador que usem o certificado SSL. Se estiver alterando um certificado raiz no sistema operacional, deverá reiniciar o computador.

Agradecemos seu feedback! Ocorreu um erro ao enviar o feedback. Tente novamente ou envie-nos uma mensagem.