Tableau Server i Windows-hjälp

TLS-stöd för oberoende gateway finns i Tableau Server 2022.1.2 och senare.

Både Tableau Server och Tableau Server oberoende gateway använder SSL-modulen (mod_ssl) som skapas med OpenSSL för att implementera funktioner för Transport Layer Security (TLS).

På grund av dess komplexitet och säkerhetskänsliga natur rekommenderar vi att TLS-konfigurationen planeras och implementeras av ett IT-proffs som har kunskap om TLS på Apache httpd.

I många fall använder vi ”SSL” i namnen på saker för kompatibilitet med befintliga TSM- eller Apache httpd-konfigurationsegenskaper eller koncept. ”SSL” hänvisar till protokollversioner som nu anses vara osäkra och föråldrade. Det äldre namnet kvarstår emellertid och används ofta omväxlande med TLS som konvention. Tableau Server och oberoende gateway stöder inte protokoll från SSL-tiden.

Exempel på TLS-konfiguration

Om du vill ha ett exempel på en komplett TLS-konfiguration läser du Konfigurera SSL/TLS från belastningsutjämnare till Tableau Server(Länken öppnas i ett nytt fönster) i Driftsättningsguide för Tableau Server för företag. Ämnet innehåller ett steg för steg-exempel på hur du konfigurerar TLS på Tableau Server för Linux i en AWS-distribution. Även om exemplet beskriver processen för Linux, är konfigurationsexemplet också användbart för Tableau Server på Windows.

Översikt över TLS-konfiguration

Du kan konfigurera TLS för HTTPS i någon av följande sektioner av sökvägen internet-to-Tableau Server:

• Från det externa nätverket (internet eller lastbalanserare i klientdelen) till oberoende gateway
• Från oberoende gateway till Tableau Server
• För underhållsprocess (HK) från Tableau Server till oberoende gateway
  

Det här avsnittet innehåller procedurer för att konfigurera var och en av dessa hopp.

Du måste göra konfigurationsändringar för oberoende gateway-datorer och Tableau Server-klustret.

Certifikatkrav och överväganden

Certifikatkraven för oberoende gateway är desamma som de för Tableau Server ”extern SSL”. Se Krav på SSL-certifikat.

Andra överväganden:

• För att underlätta certifikathanteringen och driftsättningen, och som en rekommenderad säkerhetsåtgärd, bör du använda certifikat som genereras av någon av de stora betrodda certifikatutfärdarna (CA) från tredje part. Du kan också generera självsignerade certifikat eller använda certifikat från en PKI för TLS. Var i det här fallet uppmärksam på konfigurationsalternativen för att lita på CA-certifikat och validera certifikat.
• Om din implementering kräver att en certifikatkedjefil används, se kunskapsbasartikeln Konfigurera TLS på oberoende gateway när du använder ett certifikat som har en certifikatkedja(Länken öppnas i ett nytt fönster).
• Om du kör flera instanser av oberoende gateway måste du distribuera certifikat till varje dator på samma plats (filsökväg).
• Om du kör en Tableau Server-distribution med mer än en nod distribueras certifikat som du laddar upp med TSM-kommandon automatiskt över noderna. Kör alla TSM-kommandon på den initiala noden.

Globala TLS-konfigurationer

Följande konfigurationer är globala. Konfigurationsalternativen nedan hänvisar till konfigurationsnycklar som måste ställas in med kommandot tsm configuration set. Kommandona måste innehålla alternativ --force-keys.

Det är osannolikt att du kommer att behöva ändra dessa värden.

Notera att varje nyckelpar delar samma namngivningsformat, där strängen tsig ställer in värdet för oberoende gateway. Nyckeln som inte innehåller strängen tsig ställer in värdet för gatewayprocessen i Tableau Server-klustret.

Om du inte anger ett värde för tsig-nyckeln kommer standardvärdet för Tableau Server-gateway att användas.

gateway.tsig.httpd.socache eller gateway.httpd.socache

Standard: shmcb

Alternativt värde: dbm

Lagringstypen för inter-processens SSL-sessionscache. Mer information om lagringstyperna shmcb och dbm finns i SSLSessionCache-direktivet(Länken öppnas i ett nytt fönster) på Apache-webbplatsen.

gateway.tsig.httpd.shmcb.size eller gateway.httpd.shmcb.size

Standard: 2048000

Mängden minne, i byte, som används för den cirkulära bufferten när lagringstypen shmcb används.

Obs! En annan global nyckel är gateway.tsig.ssl.key.passphrase.dialog . Om tillämpligt finns det bara en enda konfiguration för gateway.tsig.ssl.key.passphrase.dialog . Den samlar avsiktligt in lösenfraser för alla krypterade privata nyckelfiler i konfigurationen. De tillämpliga avsnitten längre fram i detta ämne beskriver användningen av denna nyckel.

Extern TLS till oberoende gateway

Processen att konfigurera externa anslutningar för att avsluta TLS på oberoende gateway-servrar liknar konceptuellt hur ”extern SSL” är konfigurerad för ett Tableau Server-kluster. Mekaniken är annorlunda. TSM distribuerar inte automatiskt certifikat och nyckelmaterial till oberoende gateway-noder. Dessutom ger oberoende gateway inte automatiskt ett sätt att tillhandahålla den valfria TLS-nyckellösenfrasen vid start.

I följande steg beskrivs hur du konfigurerar TLS från extern källa till oberoende gateway-datorer.

Steg 1: Distribuera filer till oberoende gateway-datorer

1. Placera certifikat och relaterade filer på en plats och med behörigheter som tillåter att den oberoende gateway-tjänsten (tsig-httpd) får läsa dem. Vi rekommenderar att du begränsar åtkomsten till nyckelfilerna så att endast oberoende gateway-tjänsten kan läsa dem.
2. Placera alla filer, certifikat och nycklar på exakt samma platser i alla oberoende gateway-datorer. Placera filerna utanför sökvägarna TSIG_INSTALL och TSIG_DATA så att de inte tas bort om du installerar om eller uppgraderar oberoende gateway.

Steg 2: Uppdatera miljövariabler på oberoende gateway-datorer

På varje oberoende gateway-dator ställer du in miljövariablerna TSIG_PORT och TSIG_PROTOCOL till 443 (enligt konvention, men alla oanvända TCP-portnummer stöds) och https.

Ändra dessa värden genom att köra om skriptet efter installation för att ge ett annat värde för TSIG_PORT och TSIG_PROTOCOL . Som standard finns skriptet på C:\Program Files\Tableau\Tableau Server\independentgateway\scripts\initialize-tsig.bat.

Steg 3: Aktivera TLS-konfigurationsegenskaper i Tableau Server

De flesta av TSM-konfigurationsnycklarna i följande tabell är härledda från Apache httpd-direktiv. Som sådana mappar konfigurationsvärdena för dessa TSM-konfigurationsnycklar direkt till de giltiga värdena för motsvarande Apache-direktiv. Länkar till motsvarande direktiv finns i följande tabell.

I vissa fall kommer konfigurationen att använda reservkonfigurationer om en viss nyckel inte är inställd. Dessa anges i tabellen nedan.

Konfigurationsalternativen i följande tabell hänvisar till konfigurationsnycklar som du måste ställa in med kommandot tsm configuration set. Alla kommandon måste innehålla alternativet --force-keys. Exempel:

tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys

När du har ställt in konfigurationsnycklarna måste du köra tsm pending-changes apply.

Oberoende gateway till Tableau Server

Avsnittet beskriver hur du krypterar anslutningen mellan oberoende gateway och Tableau Server.

Steg 1: Konfigurera och aktivera TLS på Tableau Server

Se Konfigurera SSL för extern HTTP-trafik till och från Tableau Server

Observera att ”SSL” är en TLS-implementering och ”extern” hänvisar till en extern anslutning till Tableau Server. I det här scenariot är den oberoende gatewayen den ”externa” anslutningen.

Vi rekommenderar att du aktiverar och verifierar att klienter kan ansluta med TLS direkt till Tableau Server innan du konfigurerar oberoende gateway.

Steg 2: Distribuera certifikatfiler på oberoende gateway-datorer

Du måste distribuera certifikatfiler på oberoende gateway-datorerna om något av följande är sant:

• Du använder självsignerade eller PKI-certifikat för TLS-certifikaten på Tableau Server-distributionen.
• Du aktiverar ömsesidig TLS på anslutningen från oberoende gateway till Tableau Server.
  

Som med alla TLS-relaterade filer på oberoende gateway-datorer måste du lägga filerna i samma sökvägar på varje dator. Alla filnamn för delade TLS-filer måste också vara desamma.

Steg 3: Aktivera TLS-konfigurationsegenskaper i Tableau Server

De flesta av TSM-konfigurationsnycklarna i följande tabell är härledda från Apache httpd-direktiv. Som sådana mappar konfigurationsvärdena för dessa TSM-konfigurationsnycklar direkt till de giltiga värdena för motsvarande Apache-direktiv. Länkar till motsvarande direktiv finns i följande tabell.

I vissa fall kommer konfigurationen att använda reservkonfigurationer om en viss nyckel inte är inställd. Dessa anges i tabellen nedan.

Konfigurationsalternativen i följande tabell hänvisar till konfigurationsnycklar som du måste ställa in med kommandot tsm configuration set. Alla kommandon måste innehålla alternativet --force-keys. Exempel:

tsm configuration set -k gateway.tsig.ssl.enabled -v true --force-keys

När du har ställt in konfigurationsnycklarna måste du köra tsm pending-changes apply.

Steg 4: Ladda upp ett CA-rotcertifikat till Tableau Server.

Du måste göra detta ytterligare steg om TLS-certifikatet som du använder på de oberoende gateway-datorerna är ett självsignerat eller PKI-genererat certifikat. Om TLS-certifikatet som du använder på oberoende gateway-datorn är ett certifikat från en betrodd certifikatutfärdare från tredje part kan du hoppa över det här steget.

Kopiera CA-rotcertifikatet som används för oberoende gateway-datorerna till den initiala noden för Tableau Server och kör sedan följande kommandon:

tsm security custom-cert add -c <root-certificate-file-name>.pem
tsm pending-changes apply

Underhållsanslutning mellan Tableau Server och oberoende gateway

Processen för underhållsförfrågningar (HK) upprätthåller konfigurationstillståndet mellan servern i Tableau Server-driftsättningen och oberoende gateway.

När oberoende gateway är installerad ger standardkonfigurationen en okrypterad HTTP-anslutning. Oberoende gateway lyssnar till underhållsförfrågningar som kommer från Tableau Server-klustret (som du definierade det under installationen).

Om du kör flera instanser av oberoende gateway måste alla servrar acceptera underhållsförfrågningar med TLS eller alla utan TLS. Det här avsnittet beskriver hur du konfigurerar HK-anslutning för TLS. Denna process kräver omstart av Tableau Server och kommer att resultera i driftstopp.

Som med de tidigare TLS-scenarierna som beskrivs ovan är många av konfigurationsändringarna för HK-anslutning inställda på konfigurationsegenskaper som hanteras av Tableau Server-klustret. HK TLS-konfiguration kräver emellertid ytterligare steg på oberoende gateway.

Steg 1: Distribuera filer till oberoende gateway-datorer

Om du har aktiverat TLS med externt nätverk och oberoende gateway kan du använda samma certifikat och nyckelfiler för HK-anslutningen.

Om du använder samma tillgångar är den enda andra certifikatfilen som du behöver distribuera CA-rotcertifikatet för certifikatet som används av Tableau Server. Om TLS-certifikatet som presenteras av Tableau Server genereras av CA från betrodd tredje part behöver du inte kopiera ett CA-rotcertifikat till oberoende gateway-datorerna.

1. Placera certifikat och relaterade filer på en plats och med behörigheter som tillåter att den oberoende gateway-tjänsten (tsig-httpd) får läsa dem. Vi rekommenderar att du begränsar åtkomsten till nyckelfilerna så att endast oberoende gateway-tjänsten kan läsa dem.
2. Placera alla filer, certifikat och nycklar på exakt samma platser i alla oberoende gateway-datorer.

Steg 2: Importera CA-rotcertifikat för oberoende gateway till Tableau Server förtroendelagring

Du måste göra detta ytterligare steg om TLS-certifikatet som du använder på de oberoende gateway-datorerna är ett självsignerat eller PKI-genererat certifikat. Om TLS-certifikatet som du använder på oberoende gateway-datorn är ett certifikat från en betrodd certifikatutfärdare från tredje part kan du hoppa över det här steget.

Du kan bara ladda upp ett CA-rotcertifikat till Tableau Server. Om du redan har laddat upp ett CA-rotcertifikat måste därför samma CA-rotcertifikat signera certifikatet som du kommer att använda för HK-anslutning.

Kopiera CA-rotcertifikatet som används för oberoende gateway-datorerna till den initiala noden för Tableau Server och kör sedan följande kommandon:

tsm security custom-cert add -c <root-certificate-file-name>.pem
tsm pending-changes apply

Steg 3: Uppdatera miljövariabler på oberoende gateway-datorer

På varje oberoende gateway-dator ställer du in miljövariabeln TSIG_HK_PROTOCOL på https. Du kan också ange en alternativ port för HK (standard är 21319) genom att ställa in miljövariabeln TSIG_HK_PORT.

Ändra dessa värden genom att köra om skriptet efter installation för att ge ett annat värde för TSIG_HK_PROTOCOL och TSIG_HK_PORT . Som standard finns skriptet på C:\Program Files\Tableau\Tableau Server\independentgateway\scripts\initialize-tsig.bat.

Steg 4: Uppdatera httpd.conf.stub på oberoende gateway

Du måste uppdatera httpd.conf.stub-filen på varje oberoende gateway-server. httpd.conf.stub-filen används för att starta den globala httpd-konfigurationen.

Filen finns på TSIG_DATA/config/httpd.conf.stub.

1. Öppna httpd.conf.stub-filen i en textredigerare. Du måste uppdatera <VirtualHost *:${TSIG_HK_PORT}>-blocket med information om HK-konfiguration. Följande exempel visar de ändringar som krävs:

   <VirtualHost *:${TSIG_HK_PORT}>
    SSLEngine on
    #TLS# SSLHonorCipherOrder on
    #TLS# SSLCompression off
    SSLCertificateFile /etc/ssl/certs/tsig-ssl.crt
    SSLCertificateKeyFile /etc/ssl/private/tsig-ssl.key
    SSLCACertificateFile /etc/ssl/certs/rootTS-CACert.pem 
   #TLS# SSLCARevocationFile /path/to/file
   </VirtualHost>				

   Obs!

   • Som standard kommenteras varje rad i <VirtualHost *:${TSIG_HK_PORT}>-blocket av strängen #TLS#. För att ”aktivera” en linje i blocket tar du bort strängen #TLS# i början av raden.
   • Som med alla httpd-konfigurationer kräver varje referensfil en absolut sökväg till filen.
   • SSLCACertificateFile anger CA-rotcertifikatet för den CA som genererar certifikatet som visas av Tableau Server. Du behöver bara ställa in detta om TLS-certifikatet som används av Tableau Server är självsignerat eller genererat av en PKI.

2. Stoppar tsig-httpd-tjänsten.

   Du kommer att börja ta emot misslyckade statuskontroller vid denna tidpunkt, vilket indikerar i TSM att din oberoende gateway-komponent har degraderats.

3. Kopiera httpd.conf.stub till httpd.conf.

   httpd.conf-filen finns i samma katalog. Skriv över httpd.conf-filen med httpd.conf.stub-filen.

4. Starta tsig-httpd-tjänsten.

   Du kommer att fortsätta att ta emot misslyckade statuskontroller vid denna tidpunkt, vilket indikerar i TSM att din oberoende gateway-komponent är degraderad. Dessa statuskontroller misslyckas tills du har slutfört konfigurationen som beskrivs i följande steg.

Steg 5: Aktivera TLS-konfigurationsegenskaper i Tableau Server

Servern måste startas om för att konfigurationsändringarna ska tillämpas. För att undvika långa tidsgränser rekommenderar vi att du stoppar servern innan du tillämpar ändringar som du anger här. I steg 6 kör du ett uppdateringskommando och startar sedan om TSM. Om du stoppar TSM i denna fas av konfigurationen resulterar det i kortare driftstopp.

1. Stoppa TSM. Kör följande kommando:

   tsm stop

2. De flesta av TSM-konfigurationsnycklarna i följande tabell är härledda från Apache httpd-direktiv. Som sådana mappar konfigurationsvärdena för dessa TSM-konfigurationsnycklar direkt till de giltiga värdena för motsvarande Apache-direktiv. Länkar till motsvarande direktiv finns i följande tabell.

   Det finns TSM-konfigurationsegenskapsnamn som inkluderar hk-noden i prefixet: gateway.tsig.hk.xyz.abc. Om den är inställd används dessa värden för HK TLS-konfigurationen. Om den inte är inställd kommer många konfigurationsegenskaper att använda reserven till gateway.tsig.xyz.abc som de själva kanske eller kanske inte kommer att falla tillbaka till gateway.xyz.abc. Egenskapen reservkonfiguration anges i förekommande fall.

   Konfigurationsalternativen i följande tabell hänvisar till konfigurationsnycklar som du måste ställa in med kommandot tsm configuration set. Alla kommandon måste innehålla alternativet --force-keys. Exempel:

   tsm configuration set -k gateway.tsig.hk.ssl.enabled -v true --force-keys

   Konfigurationsegenskap	Beskrivning	Motsvarande Apache-direktiv
   gateway.tsig.hk.ssl.enabled (Ingen reserv)	Obligatoriskt. Aktiverar TLS. Måste ställas in på true .	Ej tillämpligt
   gateway.tsig.hk.ssl.cert.file_name Reserv: gateway.tsig.ssl.cert.file_name	Sökväg + filnamn för certifikatfilen för oberoende gateway. Exempel: /etc/ssl/certs/tsig-ssl.crt.	SSLCertificateFile(Länken öppnas i ett nytt fönster)
   gateway.tsig.hk.ssl.key.file_name Reserv: gateway.tsig.ssl.key.file_name	Sökväg + filnamn för certifikatnyckelfilen för oberoende gateway. Exempel: /etc/ssl/keys/tsig-ssl.key.	SSLCertificateKeyFile(Länken öppnas i ett nytt fönster)
   gateway.tsig.ssl.key.passphrase.dialog (Global egendom)	Om din nyckel kräver en lösenfras måste du konfigurera denna nyckel med rätt sträng som förväntas av Apache httpd SSLPassPhraseDialog-direktivet. Denna konfiguration är global för oberoende gateway.	SSLPassPhraseDialog(Länken öppnas i ett nytt fönster)
   gateway.tsig.hk.ssl.protocols Reserv: gateway.tsig.ssl.protocols ssl.protocols	Ange versioner av SSL/TLS som stöds. Mer information om standardkonfiguration finns i Checklista för säkerhetsförstärkning.	SSL-protokoll(Länken öppnas i ett nytt fönster)
   gateway.tsig.hk.ssl.ciphersuite Reserv: gateway.tsig.ssl.ciphersuite ssl.ciphersuite	Anger chiffer som klienten har tillåtelse att förhandla om för SSL-anslutning.	SSLCipherSuite(Länken öppnas i ett nytt fönster)
   gateway.tsig.hk.ssl.client_certificate_login.required (Ingen reserv)	Ställ in detta värde på true för att aktivera ömsesidig TLS på den här anslutningen. Du måste också ställa in egenskapen gateway.tsig.hk.ssl.cacert.file enligt nedan.	Ej tillämpligt
   gateway.tsig.hk.ssl.cacert.file Reserv: gateway.tsig.ssl.cacert.file	Anger filen som innehåller de sammanfogade CA-certifikaten för klientautentiseringsprocessen.	SSLCACertificateFile(Länken öppnas i ett nytt fönster)
   gateway.tsig.hk.ssl.revocation.file Reserv: gateway.tsig.hk.ssl.revocation.file	Anger filen som innehåller de sammanfogade CA-spärrlistorna för klienter som ansluter till oberoende gateway.	SSLCARevocationFile(Länken öppnas i ett nytt fönster)

3. Tillämpa ändringarna. Kör följande kommando:

   tsm pending-changes apply.

Steg 6 Uppdatera JSON-konfigurationsfilen för oberoende gateway

Det sista steget är att uppdatera konfigurationen av oberoende gateway med en JSON-fil som återspeglar växlingen till https och, om tillämpligt, andra portnummer.

Mer information om hur du redigerar den här filen finns i installationsämnet. Se Steg 3: Aktivera oberoende gateway i Tableau Server.

När du har uppdaterat JSON-filen kör du följande kommandon:

tsm topology external-services gateway update -c tsig.json
tsm start

Felsökning

Du hittar felsökningstips i Felsöka oberoende gateway för Tableau Server(Länken öppnas i ett nytt fönster) i Driftsättningsguide för Tableau Server för företag. Driftsättningsguiden innehåller exempel på driftsättning av Tableau Server på Linux. Felsökningsstegen är användbara för Windows- eller Linux-versioner av Tableau Server.