Exempel: SSL-certifikat – Skapa nyckel och CSR

Viktigt: Detta exempel är avsett att ge allmän vägledning för IT-proffs som har erfarenhet av SSL-krav och konfiguration. Proceduren som beskrivs i denna artikel är bara en av många tillgängliga metoder som du kan använda för att generera de filer som krävs. Den process som beskrivs här bör ses som ett exempel och inte som en rekommendation.

När du konfigurerar Tableau Server att använda SSL-kryptering (Secure Sockets Layer) bidrar detta till att säkerställa att åtkomsten till servern är säker och att data som skickas mellan Tableau Server och Tableau Desktop skyddas.

Letar du efter Tableau Server i Linux? Exempel: SSL-certifikat – Skapa nyckel och CSR(Länken öppnas i ett nytt fönster).

Tableau Server använder Apache, som inkluderar OpenSSL(Länken öppnas i ett nytt fönster). Du kan använda OpenSSL-verktyget för att skapa en nyckelfil och en certifikatsigneringsförfrågan (CSR) som sedan kan användas för att erhålla ett signerat SSL-certifikat.

Obs! Från och med Tableau Server 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 och senare kör Tableau Server OpenSSL 3.1.

Steg för att skapa en nyckel och CSR

För att konfigurera Tableau Server att använda SSL måste du ha ett SSL-certifikat. Utför de här stegen för att erhålla SSL-certifikatet:

Konfigurera OpenSSL-konfigurationsmiljövariabeln (valfritt).
Skapa en nyckelfil.
Skapa en certifikatsigneringsförfrågan (CSR).
Skicka CSR till en certifikatutfärdare (CA) för att få ett SSL-certifikat.
Använd nyckeln och certifikatet för att konfigurera Tableau Server för att använda SSL.

Ytterligare information finns på sidan med vanliga frågor om SSL(Länken öppnas i ett nytt fönster) på Apache Software Foundations webbplats.

Konfigurera ett certifikat för flera domännamn

Tableau Server tillåter SSL för flera domäner. För att konfigurera den här miljön måste du ändra OpenSSL-konfigurationsfilen, openssl.conf, och konfigurera ett SAN-certifikat (Subject Alternative Name) på Tableau Server. Se För SAN-certifikat: ändra OpenSSL-konfigurationsfilen nedan.

Konfigurera OpenSSL-konfigurationsmiljövariabeln (valfritt).

För att undvika att använda argumentet -config vid varje användning av openssl.exe kan du använda miljövariabeln OPENSSL_CONF för att säkerställa att rätt konfigurationsfil används och att alla ändringar som görs i de efterföljande procedurerna i den här artikeln ger förväntade resultat. (Du måste till exempel konfigurera miljövariabeln för att lägga till ett SAN i certifikatet.)

Öppna kommandotolken som administratör och kör följande kommando:

set OPENSSL_CONF=c:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\conf\openssl.cnf

Obs! Skriv inte filsökvägen inom citattecken när du konfigurerar OpenSSL-konfigurationsmiljövariabeln.

Skapa en nyckel

Skapa en nyckelfil som kommer att användas för att skapa en certifikatsigneringsförfrågan.

Öppna kommandotolken som administratör och gå till Apache-katalogen för Tableau Server. Kör till exempel följande kommando:
cd C:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\bin
Kör följande kommando för att skapa nyckelfilen:
openssl.exe genrsa -out <yourcertname>.key 4096
Obs!
- Detta kommando använder en nyckellängd på 4 096 bitar. Du bör välja en bitlängd som är minst 2 048 bitar eftersom krypterad kommunikation med en kortare bitlängd är mindre säker. Om inget värde anges används 512 bitar.
- För att skapa PKCS#1 RSA-nycklar med Tableau Server-versionerna 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 och senare måste du använda tilläggsalternativet -traditional när du kör kommandot openssl genrsa baserat på OpenSSL 3.1. Mer information om alternativet finns i https://www.openssl.org/docs/man3.1/man1/openssl-rsa.html(Länken öppnas i ett nytt fönster).

Skapa en certifikatsigneringsförfrågan att skicka till en certifikatutfärdare

Använd nyckelfilen du skapade i proceduren ovan för att generera certifikatsigneringsförfrågan (CSR). Skicka CSR-certifikatet till en certifikatutfärdare (CA) för att få ett signerat certifikat.

Viktigt: Om du vill konfigurera ett SAN-certifikat för att använda SSL för flera domäner måste du först slutföra stegen i För SAN-certifikat: ändra OpenSSL-konfigurationsfilen nedan och sedan gå tillbaka hit för att generera en CSR.

Kör följande kommando för att skapa en CSR-fil (certifikatsigneringsförfrågan ):
openssl.exe req -new -key yourcertname.key -out yourcertname.csr
Om du inte konfigurerade OpenSSL-konfigurationsmiljövariabeln, OPENSSL_CONF, kan något av följande meddelanden visas:
- Ett felmeddelande om att konfigurationsinformationen inte kunde läsas in. Om detta händer skriver du om kommandot ovan med följande parameter: -config ..\conf\openssl.cnf.
- En varning om att /usr/local/ssl-katalogen inte kan hittas. Den här katalogen finns inte i Windows och du kan ignorera detta meddelande. Filen har skapats.
I avsnittet Konfigurera OpenSSL-konfigurationsmiljövariabeln (valfritt) i den här artikeln finns information om att konfigurera en OpenSSL-konfigurationsmiljövariabel.
Ange den information som krävs när du blir uppmanad att göra det.
Obs! Ange Tableau Server-namnet som Common Name (nätverksnamn). Tableau Server-namnet är URL:en som används för att nå Tableau Server. Om du till exempel ansluter till Tableau Server genom att skriva tableau.example.com i adressfältet i din webbläsare är tableau.example.com nätverksnamnet. Om nätverksnamnet inte är detsamma som servernamnet uppstår fel när en webbläsare eller Tableau Desktop försöker ansluta till Tableau Server.

Skicka CSR till en certifikatutfärdare för att få ett SSL-certifikat

Skicka CSR till en kommersiell certifikatutfärdare (CA) för att begära det digitala certifikatet. Mer information finns i Wikipedia-artikeln Certificate authority(Länken öppnas i ett nytt fönster) och eventuella relaterade artiklar som hjälper dig att bestämma vilken CA som ska användas.

Använda nyckeln och certifikatet för att konfigurera Tableau Server

När du har både nyckeln och certifikatet från certifikatutfärdaren kan du konfigurera Tableau Server att använda SSL. Stegen listas under Konfigurera extern SSL.

För SAN-certifikat: ändra OpenSSL-konfigurationsfilen

I en standardinstallation av OpenSSL är vissa funktioner inte aktiverade som standard. För att använda SSL med flera domännamn slutför du dessa steg för att ändra openssl.cnf-filen innan du skapar CSR.

Öppna Windows Explorer och gå till Apache conf mappen för Tableau Server.
Exempel: C:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\conf
Öppna openssl.cnf i en textredigerare och hitta följande rad: req_extensions = v3_req
Den här raden kan kommenterats bort ett nummertecken (#) i början av raden.
Om raden har kommenterats bort ändrar du det genom att ta bort #-tecknet och blanksteget från radens början.
Gå till avsnittet [ v3_req ] i filen. De första raderna innehåller följande text:
# Extensions to add to a certificate request basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment
Infoga följande rad efter keyUsage-raden:
subjectAltName = @alt_names
Om du skapar ett självsignerat SAN-certifikat gör du följande för att ge behörighet att signera certifikatet:
1. Lägg till keyCertSign och cRLSign i keyUsage-raden så att den ser ut så här: keyUsage = nonRepudiation, digitalSignature, keyEncipherment, cRLSign, keyCertSign
2. Lägg till följande rad efter keyUsage-raden: subjectAltName = @alt_names
Ange de domännamn du vill använda med SSL i avsnittet [alt_names].
DNS.1 = [domain1] DNS.2 = [domain2] DNS.3 = [etc]
Följande bild visar de markerade resultaten, med platshållartexten som ska ersättas med domännamnen.
Spara och stäng filen.
Slutför stegen i avsnittet Skapa en certifikatsigneringsförfrågan att skicka till en certifikatutfärdare ovan.

Ytterligare information

Om du föredrar att använda en annan version av OpenSSL kan du ladda ner den från Open SSL for Windows(Länken öppnas i ett nytt fönster).

Tillbaka till toppen

Tableau Server i Windows-hjälp