针对内部 Postgres 通信配置 SSL

您可以将 Tableau Server 配置为对 Postgres 存储库和其他服务器组件之间的加密通信使用 SSL (TLS)。默认情况下,Tableau Server 组件的内部通信不加密。

在启用对内部 SSL 的支持时,您也可以配置对从 Tableau 客户端(例如 Tableau Desktop、Tableau Mobile、REST API 和 Web 浏览器)到存储库的直接连接的支持。

  1. 以服务器管理员身份在浏览器中打开 TSM:

    https://<tsm-computer-name>:8850

    有关详细信息,请参见登录到 Tableau 服务管理器 Web UI

  2. “配置”选项卡上,选择“安全”>“存储库 SSL”

    TSM 存储库 SSL 设置的屏幕截图

  3. 选择用于存储库 SSL 的选项之一。

    • 所有连接都需要 — 为内部 Tableau Server 通信使用 SSL,并要求为直接连接到存储库的 Tableau 客户端和任何外部(非 Tableau)客户端(包括使用 tableaureadonly 用户的客户端)使用 SSL。

      重要信息:除非您完成配置 Postgres SSL 以允许从客户端直接连接中的步骤,以便将证书文件放在客户端计算机上的正确位置,否则 Tableau 客户端和外部 Postgres 客户端将无法通过将客户端计算机上的证书与存储库计算机上的 SSL 证书进行比较来验证 Tableau 存储库的身份。

    • 对于用户连接为可选 — 启用之后,Tableau 将为内部 Tableau Server 通信使用 SSL,支持并不要求为从 Tableau 客户端到服务器的直接连接使用 SSL。

    • 对于所有连接均关闭(默认值) — 内部服务器通信不加密,并且不需要为来自客户端的直接连接使用 SSL。

  4. 单击“确定”

    前两个选项会生成服务器的证书文件(server.crtserver.key),并将它们放在以下位置中。

    C:/ProgramData/Tableau/Tableau Server/data/tabsvc/config/pgsql<version>/security

    如果需要为直接连接配置客户端,请使用此 .crt 文件。

若要为服务器组件之间的内部流量启用 SSL,请运行以下命令:

tsm security repository-ssl enable

tsm pending-changes apply

命令的作用

repository-ssl enable 生成服务器的证书文件,该文件放在以下位置中:

C:/ProgramData/Tableau/Tableau Server/data/tabsvc/config/pgsql<version>/security

默认情况下,对于存储库与其他服务器组件之间的流量,以及 Tableau 客户端的直接连接(包括通过 tableaureadonly 用户进行的连接),此命令将 Tableau Server 设置为需要 SSL。

若要完成配置,您还必须执行配置 Postgres SSL 以允许从客户端直接连接中所述的步骤,将证书文件放在客户端计算机上的正确位置中。

如果待定更改需要重新启动服务器,pending-changes apply 命令将显示一个提示,告知您将进行重新启动。即使服务器已停止,此提示也会显示,但在这种情况下不会重新启动。您可以使用 --ignore-prompt 选项隐藏提示,但这样做不会改变重新启动行为。如果更改不需要重新启动,则会在不提示的情况下应用更改。有关详细信息,请参阅tsm pending-changes apply

repository-ssl enable 的选项

如果只需要为内部 Tableau Server 通信使用 SSL,而不需要为客户端应用直接连接使用,请将以下选项用于 repository-ssl enable 命令:

--internal-only

群集环境

如果在群集中的节点上运行 repository-ssl enable,它会将所需的证书文件复制到每个其他节点上的相同位置。

有关下载用于直接连接的公共证书的详细信息,请参见配置 Postgres SSL 以允许从客户端直接连接

感谢您的反馈!