为 TSM 控制器配置自定义 SSL 证书

Tableau Server 管理控制器(又名控制器)是用于对 Tableau Server 群集进行管理更改的管理组件。默认情况下,控制器在 Tableau Server 群集的初始(第一个)节点上运行。尽管在单个 Tableau 群集部署中运行多个控制器在技术上是可行的,但这不是推荐的做法。

控制器包括一个可以由各种客户端管理的 API:TSM CLI、TSM Web Client、REST 客户端(curl、postman)等。使用这些客户端,Tableau Server 管理员可以对服务器群集进行配置更改。控制器与 Zookeeper 一起管理和执行跨节点的配置更改。

默认 TSM SSL 功能

注意:按照惯例,这里使用术语“SSL”来指代使用 TLS 来保护 HTTPS 流量。

默认情况下,客户端连接通过 Tableau Server 在设置期间创建并由控制器续订的自签名证书使用 SSL 进行加密。除了加密之外,控制器主机的身份(主机名或 IP)在 SSL 握手期间根据证书中提供的使用者名称进行验证。但是,由于证书是自签名的,因此证书的可信度不是绝对的。

在 CLI 连接到控制器的情况下,无法绝对信任证书并不是一个巨大的安全风险,因为中间人攻击通常需要恶意用户访问专用网络中的 Tableau Server 群集。如果恶意用户可以在 CLI 场景中伪造控制器的证书,那么恶意用户就已经拥有了“王国的钥匙”。

但是,在管理员通过 TSM Web UI 从内部网络外部连接到控制器的情况下,缺乏通过受信任的证书颁发机构进行的主机验证会带来更多的安全风险。

直到最近,在 Windows 计算机上运行 TSM Web UI 的客户还可以将 Tableau Server CA 证书放在 Windows 受信任的根存储中。大多数浏览器将通过此配置验证证书的信任。今天,Chrome 不再验证(信任)放置在操作系统信任存储中的自签名证书。现在,Chrome(以及大多数主流浏览器)将只信任链接回受信任的第三方根 CA 的证书。

Tableau Server v2023.1 SSL 自定义证书

自定义 SSL TSM 证书功能允许管理员使用链接回受信任的第三方根 CA 的身份证书配置 TSM 控制器,从而缩小了信任差距。

有许多重要的细节需要理解:

  • 在与 TSM Web UI 连接时验证对 TSM 自定义 SSL 证书的信任。
  • 不尝试对 TSM CLI 场景进行信任验证。如前所述,对 CLI 场景的“中间人”攻击不会带来可信的风险。
  • 证书链可能包含在配置中。该链可以提供由中间 CA 签名的所有证书。链可以在任何时候结束,链中丢失的任何证书都被假定安装在操作系统信任存储中。

配置

您必须使用 TSM CLI 为 TSM 配置(或更新)SSL 自定义证书。

请参见tsm security custom-tsm-ssl enable