War diese Seite hilfreich?
Ja Nein

Konfigurieren von SSL für den externen HTTP-Verkehr von und an Tableau Server

Tableau Server für Windows beinhaltet nun Tableau Services Manager (TSM), der das Konfigurationsdienstprogramm und das tabadmin-Befehlszeilentool ersetzt. Wenn Sie Hilfe zu einer früheren Version von Tableau Server benötigen, schlagen Sie auf der Seite Tableau-Hilfe nach.

Sie können Tableau Server so konfigurieren, dass der gesamte externe HTTP-Datenverkehr mit SSL (Secure Socket Layer) verschlüsselt wird. Durch das Einrichten von SSL wird sichergestellt, dass der Zugriff auf Tableau Server sicher ist und dass die zwischen dem Server und den Tableau-Clients (beispielsweise Tableau Desktop, der REST-API usw.) weitergegebenen vertraulichen Informationen geschützt sind. Die Vorgehensweisen zur Konfiguration des Servers für SSL werden in diesem Thema beschrieben. Zuvor müssen Sie jedoch ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle erwerben und die Zertifikatdateien in Tableau Server importieren.

Die gegenseitige SSL-Authentifizierung wird in Tableau Mobile nicht unterstützt.

SSL-Zertifikatsanforderungen

Erwerben Sie von einer vertrauenswürdigen Zertifizierungsstelle (z. B. Verisign, Thawte, Comodo, GoDaddy usw.) ein Apache SSL-Zertifikat. Sie können auch ein von Ihrem Unternehmen ausgestelltes internes Zertifikat verwenden. Platzhalterzertifikate, die es Ihnen ermöglichen, SSL mit vielen Hostnamen innerhalb der gleichen Domäne zu verwenden, werden ebenfalls unterstützt.

Wenn Sie ein SSL-Zertifikat für eine externe Kommunikation mit und von Tableau Server erwerben, halten Sie diese Richtlinien und Anforderungen ein:

  • Wenn Ihre Organisation Zertifikate mit einem lokalen PKO ausstellt oder Sie Zertifikate verwenden, die nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurden, benötigen Sie eine Zertifikatsdatei der Zertifizierungsstelle zum Identifizieren der vertrauenswürdigen Zertifizierungsstelle.

    Bei der Zertifikatsdatei der Zertifizierungsstelle muss es sich um ein gültiges PEM-codiertes X509-Zertifikat mit der Erweiterung .crt handeln. Wenn mehrere vertrauenswürdige Zertifizierungsstellen vorhanden sind, können Sie den gesamten Inhalt jedes Zertifikats einer Zertifizierungsstelle, einschließlich der Zeilen "BEGIN CERTIFICATE" und "END CERTIFICATE" in eine neue Datei kopieren und dann die Datei als CAs.crt speichern.

  • Verwenden Sie ein SHA-2-SSL-Zertifikat (256 oder 512 Bit). Die meisten Browser erlauben keine Verbindungen mehr zu Servern mit einem SHA-1-Zertifikat.

  • Zusätzlich zur Zertifikatsdatei müssen Sie zudem eine entsprechende SSL-Zertifikatsschlüsseldatei erwerben. Bei der Schlüsseldatei muss es sich um eine gültige private RSA- oder DSA-Schlüsseldatei handeln (entsprechend der Konvention mit der Erweiterung .key).

    Sie können die Schlüsseldatei mittels Passphrase schützen. Die während der Konfiguration von Ihnen eingegebene Passphrase wird im Leerlauf verschlüsselt. Wenn Sie jedoch dasselbe Zertifikat für SSL und SAML verwenden möchten, müssen Sie eine Schlüsseldatei verenden, die nicht mittels Passphrase geschützt ist.

  • Für Tableau Desktop auf dem Mac ist eine Zertifikatskettendatei erforderlich. Bei der Kettendatei handelt es sich um eine Verkettung sämtlicher Zertifikate, die die Zertifikatskette für das Serverzertifikat bilden. Alle Zertifikate in der Datei müssen x509 PEM-codiert sein, und die Datei muss die Erweiterung .crt (nicht .pem) haben.

  • Für mehrere Unterdomänen werden von Tableau Server Platzhalterzertifikate unterstützt.

  • Tableau Server Unterstützt Zertifikate, die mehrere Domänen, IP-Adressen oder Hostnamen im Feld "Subject Alternative Name" (SAN) auflisten.

Hinweis: Wenn Tableau Server für die einmalige Anmeldung (Single Sing-On) mittels SAML konfiguriert werden soll, lesen Sie den Abschnitt Informationen zum Zertifikat und zu Schlüsseldateien in den SAML-Anforderungen, um zu bestimmen, ob Sie dieselben Zertifikatdateien für SSL und SAML verwenden sollten.

Konfigurieren von SSL für einen Cluster

Sie können einen Tableau Server-Cluster so konfigurieren, dass SSL verwendet wird. Wenn der Gateway-Prozess nur auf dem Ausgangsknoten ausgeführt wird (Standardeinstellung), muss SSL nur dort konfiguriert werden. Die dazu erforderlichen Schritte werden in diesem Thema beschrieben.

SSL mit mehreren Gateways

Ein Tableau Server-Cluster mit hoher Verfügbarkeit kann mehrere Gateways einschließen, vor die ein Lastenausgleichsmodul geschaltet ist. Beim Konfigurieren dieses Clustertyps für SSL haben Sie die folgenden Wahlmöglichkeiten:

  • Konfigurieren Sie das Lastenausgleichsmodul für SSL: Der Datenverkehr zwischen den Client-Webbrowsern und dem Lastenausgleichsmodul ist verschlüsselt. Der Datenverkehr vom Lastenausgleichsmodul zu den Tableau Server-Gateway-Prozessen ist nicht verschlüsselt. Sie müssen keine SSL-Konfiguration in Tableau Server durchführen. Sie wird vom Lastenausgleichsmodul übernommen.

  • Konfigurieren von Tableau Server für SSL: Der Datenverkehr von den Client-Webbrowsern zum Lastenausgleichsmodul und vom Lastenausgleichsmodul zu den Tableau Server-Gateway-Prozessen ist verschlüsselt. Weitere Informationen finden Sie im folgenden Abschnitt.

Zusätzliche Konfigurationsinformationen für Tableau Server Cluster-Umgebungen

Führen Sie die folgenden Schritte aus, wenn Sie SSL auf allen Tableau Server-Knoten nutzen möchten, die einen Gateway-Prozess ausführen.

  1. Konfigurieren Sie den externen Lastenausgleich für SSL-Passthrough.

    Wenn Sie alternativ einen anderen Port als Port 443 verwenden möchten, können Sie den externen Lastenausgleich konfigurieren, um den vom Standard abweichenden Port vom Client zu beenden. In diesem Fall würden Sie das Lastenausgleichsmodul so konfigurieren, dass eine Verbindung mit Tableau Server über Port 443 hergestellt wird. Informationen dazu können Sie der für das Lastenausgleichsmodul bereitgestellten Dokumentation entnehmen.

  2. Vergewissern Sie sich, dass das SSL-Zertifikat auf den Hostnamen des Lastenausgleichsmoduls ausgestellt wurde.

  3. Konfigurieren Sie den anfänglichen Tableau Server-Knoten für SSL.

  4. Legen Sie das SSL-Zertifikat und die Schlüsseldatei, das bzw. die Sie für den anfänglichen Knoten verwendet haben, auch auf jedem nachfolgenden Tableau Server-Knoten ab, auf dem ein Gateway-Prozess ausgeführt wird. Verwenden Sie den gleichen Speicherort auf allen Computern.

  5. Wenn Sie gegenseitiges SSL nutzen, platzieren Sie die SSL CA-Zertifikatdatei im gleichen Speicherort auf allen Computern, auf denen ein Gateway-Prozess ausgeführt wird.

    Auf nachfolgenden Knoten ist keine zusätzliche Konfiguration erforderlich.

Beispiel

Sie verfügen über einen Cluster mit einem Tableau Server-Ausgangsknoten und drei weiteren Knoten, wobei die Gateway-Prozesse auf dem Ausgangsknoten sowie auf den weiteren Knoten "node2" und "node3" ausgeführt werden. In diesem Fall konfigurieren Sie den Tableau Server-Ausgangsknoten für SSL und kopieren dasselbe SSL-Zertifikat und dieselben Schlüsseldateien dann auf "node2" und "node3" in das gleiche Verzeichnis wie auf dem Ausgangsknoten.

Vorbereiten der Umgebung

Platzieren Sie Zertifikatdateien in einem Ordner mit dem Namen "SSL", wie der Ordner 2019.1 auf Tableau Server. Beispiel:

C:\Program Files\Tableau\Tableau Server\SSL

Dieser Speicherort gibt dem Konto, unter dem Tableau Server ausgeführt wird, die notwendigen Berechtigungen für die Dateien. Diesen Ordner müssen Sie möglicherweise erstellen.

Konfigurieren von SSL auf Tableau Server

Gehen Sie nach dem Verfahren vor, mit dem Sie vertraut sind.

  1. Öffnen Sie TSM in einem Browser:

    https://<tsm-computer-name>:8850. Weitere Informationen finden Sie unter Anmelden bei der Webschnittstelle von Tableau Services Manager.

  2. Wählen Sie auf der Registerkarte Konfiguration die Option Sicherheit > Externes SSL aus.

  3. Wählen Sie unter Externes Webserver-SSL die Option SSL für die Serverkommunikation aktivieren aus.

  4. Laden Sie die Zertifikat- und Schlüsseldateien und, sofern in Ihrer Umgebung erforderlich, auch die Zertifikatkettendatei hoch und geben Sie den Passphrase-Schlüssel ein:

    Configure  SSL screenshot

  5. Klicken Sie auf Ausstehende Änderungen speichern.

  6. Klicken Sie oben auf der Seite auf Ausstehende Änderungen:

  7. Klicken Sie auf Änderungen anwenden und neu starten.

Nachdem Sie die Zertifikatdateien auf Ihren lokalen Computer geladen haben, führen Sie die folgenden Befehle aus:

tsm security external-ssl enable --cert-file <path-to-file.crt> --key-file <path-to-file.key>

tsm pending-changes apply

Sehen Sie sich die Befehlsreferenz in tsm security external-ssl enable an, um zu bestimmen, ob Sie weitere Optionen für external-ssl enable einfügen wollen. Tableau hat bestimmte Empfehlungen für die Option --protocols.

Der Befehl external-ssl enable command importiert die Informationen von den .crt- und .key-Dateien. Wenn Sie diesen Befehl auf einem Knoten in einem Tableau Server-Cluster ausführen, werden auch die Informationen auf jeden anderen Gateway-Knoten verteilt.

Der Befehl pending-changes apply zeigt eine Meldung an, die Sie darüber informiert, dass dadurch Tableau Server neu gestartet wird, wenn der Server ausgeführt wird. Die Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Weitere Informationen finden Sie unter tsm pending-changes apply.

Port-Umleitung und Protokollierung

Nachdem der Server für SSL konfiguriert wurde, akzeptiert er Anforderungen am Nicht-SSL-Port (standardmäßig Port 80) und leitet diese automatisch zum SSL-Port 443 um.

Hinweis: Tableau Server unterstützt nur Port 443 als sicheren Port. Das Programm kann nicht auf Computern ausgeführt werden, auf denen eine andere Anwendung Port 443 verwendet.

SSL-Fehler werden in der folgenden Protokolldatei aufgezeichnet. Mit diesem Protokoll beheben Sie Validierungs- und Verschlüsselungsprobleme.

\ProgramData\Tableau\Tableau Server\data\tabsvc\logs\httpd\error.log