예: SSL 인증서 - 키 및 CSR 생성


중요: 이 예제는 SSL 요구 사항 및 구성에 대해 잘 알고 있는 IT 전문가에게 일반적인 지침을 제공하기 위한 것입니다. 이 문서에 설명되어 있는 절차는 필요한 파일을 생성하기 위해 사용할 수 있는 많은 방법 중 하나일 뿐입니다. 여기에 설명되어 있는 프로세스는 권장 사항이 아니라 단순한 예제로 간주해야 합니다.

SSL(Secure Sockets Layer) 암호화를 사용하도록 Tableau Server를 구성하면 서버에 대한 액세스가 보호되고 Tableau Server와 Tableau Desktop 간에서 전송되는 데이터가 보호됩니다.

Linux에서 Tableau Server를 사용하려고 하십니까? 예: SSL 인증서 - 키 및 CSR 생성(링크가 새 창에서 열림)을 참조하십시오.

Tableau Server에서는 OpenSSL(링크가 새 창에서 열림)을 포함하는 Apache를 사용합니다. OpenSSL 툴킷을 사용하여 키 파일과 CSR(인증서 서명 요청)을 생성할 수 있으며, 이를 사용하여 서명된 SSL 인증서를 얻을 수 있습니다.

참고: Tableau Server 버전 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 이상부터 Tableau Server는 OpenSSL 3.1을 실행합니다.

키 및 CSR을 생성하는 단계

SSL을 사용하도록 Tableau Server를 구성하려면 SSL 인증서가 있어야 합니다. SSL 인증서를 얻으려면 다음 단계를 완료하십시오.

  1. OpenSSL 구성 환경 변수 설정(선택 사항)
  2. 키 파일 생성
  3. CSR(인증서 서명 요청) 만들기
  4. CSR을 CA(인증 기관)로 보내 SSL 인증서 얻기
  5. 키 및 인증서를 사용하여 SSL을 사용하도록 Tableau Server 구성

Apache Software Foundation 웹 사이트의 SSL FAQ 페이지(링크가 새 창에서 열림)에서 추가 정보를 찾을 수 있습니다.

여러 도메인 이름에 대해 인증서 구성

Tableau Server에서는 다중 도메인에 SSL을 사용할 수 있습니다. 이 환경을 설정하려면 OpenSSL 구성 파일(openssl.conf)을 수정하고 Tableau Server에서 SAN(Subject Alternative Name) 인증서를 구성해야 합니다. 자세한 내용은 아래에서 SAN 인증서의 경우: OpenSSL 구성 파일 수정을 참조하십시오.

OpenSSL 구성 환경 변수 설정(선택 사항)

openssl.exe를 사용할 때마다 -config 인수를 사용할 필요가 없도록 OPENSSL_CONF 환경 변수를 사용하여 올바른 구성 파일이 사용되게 하고 이 문서의 후속 절차에서 수행한 모든 구성 변경 사항이 예상된 결과를 얻도록 만듭니다. 예를 들어 인증서에 SAN을 추가하도록 환경 변수를 설정해야 합니다.

관리자로 명령 프롬프트를 열고 다음 명령을 실행합니다.

set OPENSSL_CONF=c:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\conf\openssl.cnf

참고: Open SSL 구성 환경 변수를 설정할 때 파일 경로를 따옴표로 묶지 마십시오.

키 생성

인증서 서명 요청을 생성하는 데 사용할 키 파일을 생성합니다.

  1. 관리자로 명령 프롬프트를 열고 Tableau Server의 Apache 디렉터리로 이동합니다. 예를 들어 다음 명령을 실행합니다.

    cd C:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\bin

  2. 다음 명령을 실행하여 키 파일을 만듭니다.

    openssl.exe genrsa -out <yourcertname>.key 4096

    참고:
    • 이 명령에서는 키 길이로 4096비트를 사용합니다. 짧은 비트로 암호화한 통신은 보안성이 떨어지기 때문에 적어도 2048비트 이상의 비트 길이를 선택해야 합니다. 값이 제공되지 않으면 512비트가 사용됩니다.
    • Tableau Server 버전 2021.3.26, 2021.4.21, 2022.1.17, 2022.3.9, 2023.1.5 이상에서 PKCS#1 RSA 키를 만들려면 OpenSSL 3.1을 기반으로 'openssl genrsa' 명령을 실행할 때 추가 옵션 -traditional을 사용해야 합니다. 옵션에 대한 자세한 내용은 https://www.openssl.org/docs/man3.1/man1/openssl-rsa.html(링크가 새 창에서 열림)을 참조하십시오.

인증 기관에 보낼 인증서 서명 요청 만들기

위 절차에서 만든 키 파일을 사용하여 CSR(인증서 서명 요청)을 생성합니다. CSR을 CA(인증 기관)로 보내 서명된 인증서를 얻습니다.

중요: 다중 도메인에서 SSL을 사용하기 위한 SAN 인증서를 구성하려면 먼저 아래의 SAN 인증서의 경우: OpenSSL 구성 파일 수정에 나와 있는 단계를 완료한 다음 여기로 돌아와 CSR을 생성합니다.

  1. 다음 명령을 실행하여 CSR(인증서 서명 요청) 파일을 만듭니다.

    openssl.exe req -new -key yourcertname.key -out yourcertname.csr

    OpenSSL 구성 환경 변수(OPENSSL_CONF)를 설정하지 않은 경우 다음과 같은 메시지 중 하나가 표시될 수 있습니다.

    • 구성 정보를 로드할 수 없다는 오류 메시지. 이 경우 다음 매개 변수를 사용하여 위 명령을 다시 입력합니다. -config ..\conf\openssl.cnf.

    • /usr/local/ssl 디렉터리를 찾을 수 없다는 경고. 이 디렉터리는 Windows에 존재하지 않으며 이 메시지를 무시할 수 있습니다. 파일은 성공적으로 만들어집니다.

    OpenSSL 구성 환경 변수를 설정하려면 이 문서의 OpenSSL 구성 환경 변수 설정(선택 사항) 섹션을 참조하십시오.

  2. 메시지가 나타나면 필요한 정보를 입력합니다.

    참고: CN(일반 이름)에 Tableau Server 이름을 입력합니다. Tableau Server 이름은 Tableau Server에 연결하는 데 사용되는 URL입니다. 예를 들어 브라우저의 주소 표시줄에 tableau.example.com 을 입력하여 Tableau Server에 연결한다면 tableau.example.com 일반 이름입니다. 일반 이름이 서버 이름으로 해석되지 않는 경우 브라우저 또는 Tableau Desktop이 Tableau Server에 연결할 때 오류가 발생합니다.

CSR을 CA(인증 기관)로 보내 SSL 인증서 얻기

CSR을 상용 CA(인증 기관)로 보내 디지털 인증서를 요청합니다. 자세한 내용은 Wikipedia 문서 Certificate authority(링크가 새 창에서 열림)(인증 기관) 및 사용할 CA 결정에 도움이 되는 모든 관련 문서를 참조하십시오.

키와 인증서를 사용하여 Tableau Server 구성

CA에서 받은 키와 인증서가 모두 있으면 SSL을 사용하도록 Tableau Server를 구성할 수 있습니다. 관련 단계는 외부 SSL 구성을 참조하십시오.

SAN 인증서의 경우: OpenSSL 구성 파일 수정

OpenSSL 표준 설치에서는 기본적으로 몇 가지 기능을 사용하지 않도록 설정됩니다. 다중 도메인 이름으로 SSL을 사용하려면 CSR을 생성하기 전에 다음 단계를 완료하여 openssl.cnf 파일을 수정합니다.

  1. Windows 탐색기를 열고 Tableau Server의 Apache conf 폴더로 이동합니다.

    예: C:\Program Files\Tableau\Tableau Server\packages\apache.<version_code>\conf

  2. 텍스트 편집기에서 openssl.cnf를 열고 req_extensions = v3_req 줄을 찾습니다.

    이 줄은 맨 앞에 있는 해시 기호(#)로 주석 처리되어 있을 수 있습니다.

    줄이 주석 처리된 경우 줄 앞부분에서 #공백 문자를 제거하여 주석을 해제합니다.

  3. 파일의 [ v3_req ] 섹션으로 이동합니다. 처음 몇 줄에 다음과 같은 텍스트가 포함되어 있습니다.

    # Extensions to add to a certificate request
    basicConstraints = CA:FALSE
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment

    keyUsage 줄 아래에 다음 줄을 삽입합니다.

    subjectAltName = @alt_names

    자체 서명된 SAN 인증서를 만드는 경우 다음을 수행하여 인증서에 서명할 인증서 사용 권한을 지정합니다.

    1. keyUsage 줄에 cRLSignkeyCertSign을 추가하여 다음과 같이 보이도록 만듭니다. keyUsage = nonRepudiation, digitalSignature, keyEncipherment, cRLSign, keyCertSign

    2. keyUsage 줄 아래에 다음 줄을 추가합니다. subjectAltName = @alt_names

  4. [alt_names] 섹션에 SSL을 사용할 도메인 이름을 제공합니다.

    DNS.1 = [domain1]
    DNS.2 = [domain2]
    DNS.3 = [etc]

    다음 이미지에서는 사용자의 도메인으로 바꾸어야 하는 자리 표시자 텍스트가 강조 표시된 결과를 보여 줍니다.

  5. 파일을 저장하고 닫습니다.

  6. 위에 있는 인증 기관에 보낼 인증서 서명 요청 만들기 섹션의 단계를 완료합니다.

추가 정보

다른 버전의 OpenSSL을 사용하고 싶다면 Open SSL for Windows(링크가 새 창에서 열림)에서 해당 버전을 다운로드할 수 있습니다.

맨 위로 이동
피드백을 제공해 주셔서 감사합니다!귀하의 피드백이 제출되었습니다. 감사합니다!