Essa página foi útil?
Sim Não

Configurar o SSL para tráfego de HTTP externo e do Tableau Server

O Tableau Server no Windows agora inclui o Tableau Services Manager (TSM), que substitui o Utilitário de configuração e a ferramenta de linha comando tabadmin. Caso precise de ajuda para uma versão anterior do Tableau Server, consulte a página Ajuda do Tableau.

Configure o Tableau Server para usar comunicações criptografadas por SSL (Secure Sockets Layer) em todo o tráfego HTTP externo. A configuração do SSL garante que o acesso ao Tableau Server seja seguro e que as informações confidenciais passadas entre o servidor e os clientes do Tableau (como Tableau Desktop, REST API e assim por diante) sejam protegidas. As etapas sobre como configurar o servidor para SSL são descritas neste tópico; no entanto, primeiro, adquira um certificado de uma autoridade confiável e depois importe os arquivos de certificado no Tableau Server.

A autenticação por SSL mútuo não é compatível com o Tableau Mobile.

Requisitos do certificado SSL

Adquira um certificado Apache SSL de uma autoridade confiável (por exemplo, Verisign, Thawte, Comodo, GoDaddy). Você também pode usar um certificado interno emitido por sua empresa. Certificados curinga, que permitem que você use SSL com muitos nomes de host dentro do mesmo domínio, também têm suporte.

Siga as diretrizes e os requisitos ao obter um certificado SSL para comunicação externa de e para o Tableau Server:

  • Se a empresa emitir certificados com PKI local ou se você estiver usando certificados não emitidos por uma autoridade de certificação confiável, será necessário um arquivo de certificado da autoridade de certificação (CA) para identificar a CA confiável.

    O arquivo de certificado da CA deve ser um certificado X509 codificado por PEM válido com a extensão .crt. Se você tiver várias autoridades de certificação confiáveis, copie e cole o conteúdo inteiro de cada certificado de CA, incluindo as linhas "BEGIN CERTIFICATE" e "END CERTIFICATE", em um novo arquivo e, em seguida, salve esse arquivo como CAs.crt.

  • Use um certificado SSL SHA-2 (256 ou 512 bits). A maioria dos navegadores não se conectam a um servidor que apresenta um certificado SHA-1.

  • Além do arquivo de certificado, você também deve adquirir o arquivo de chave de certificado SSL correspondente. O arquivo chave deve ser um arquivo chave privado RSA ou DSA (com a extensão .key por convenção).

    Você pode usar a proteção por frase secreta no arquivo de chave. A frase secreta inserida durante a configuração será criptografada em períodos de inatividade. No entanto, se você desejar usar o mesmo certificado para SSL e SAML, use um arquivo de chave que não seja protegido por frase secreta.

  • Um arquivo de cadeia de certificado é necessário para o Tableau Desktop no Mac. O arquivo de cadeia é uma concatenação de todos os certificados que formam a cadeia de certificados para o certificado do servidor. Todos os certificados no arquivo devem ser x509 codificados por PEM, e o arquivo deve ter a extensão .crt (não .pem).

  • O Tableau Server oferece suporte a certificados curinga para diversos subdomínios.

  • O Tableau Server suporta certificados que listam vários domínios, endereços de IP ou nomes de host no campo Subject Alternative Names (SAN).

Observação: se você planeja configurar o Tableau Server para logon único usando SAML, consulte Sobre os arquivos de chave e certificado nos requisitos do SAML para ajudar a determinar se os mesmos arquivos de certificado devem ser usados para o SSL e o SAML.

Configurar SSL para um cluster

É possível configurar um cluster do Tableau Server para usar SSL. Se o nó inicial estiver executando o processo de gateway (o que ele faz por padrão), é necessário configurar o SSL apenas nesse nó, usando as etapas descritas neste tópico.

SSL com vários gateways

Um cluster do Tableau Server de alta disponibilidade pode incluir diversos gateways, antecedidos por um balanceador de carga. Se estiver configurando este tipo de cluster para SSL, há as seguintes opções:

  • Configurar o balanceador de carga para SSL: o tráfego é codificado dos navegadores da Web do cliente até o balanceador de carga. O tráfego do balanceador de carga para os processos de gateway do Tableau Server não é criptografado. Nenhuma configuração SSL é necessária no Tableau Server. Tudo é controlado pelo balanceador de carga.

  • Configurar o Tableau Server para SSL: o tráfego é codificado dos navegadores da Web do cliente até o balanceador de carga e do balanceador de carga aos processos de gateway do Tableau Server. Para obter mais informações, avance para a próxima seção.

Informações de configuração adicionais dos ambientes de cluster do Tableau Server

Quando quiser usar o SSL em todos os nós do Tableau Server que executam um processo de gateway, conclua as etapas a seguir.

  1. Configure o balanceador de carga para passagem SSL.

    Ou então, se desejar usar uma porta diferente da 443, poderá configurar o balanceador de carga externo para encerrar a porta não padrão do cliente. Neste cenário, o próximo passo é configurar o balanceador de carga para se conectar ao Tableau Server pela porta 443. Para obter assistência, consulte a documentação fornecida sobre o balanceador de carga.

  2. Confira se o certificado do SSL foi emitido com o nome de host do balanceador de carga.

  3. Configure o nó do Tableau Server para o SSL.

  4. Coloque o mesmo certificado do SSL e arquivo-chave usado no nó inicial em cada nó subsequente do Tableau Server que execute um processo de gateway. Use o mesmo caminho de pasta em todos os computadores.

  5. Caso esteja usando o SSL mútuo, coloque o arquivo de certificado de CA do SSL no mesmo local em todos os computadores que executam um processo de gateway.

    Não é necessário realizar nenhuma configuração adicional nos nós subsequentes.

Exemplo

Digamos que você tenha um cluster incluído em um nó inicial do Tableau Server e três nós de trabalho, com processos de gateway sendo executados no inicial, no 2 e no 3. Nessa situação, configure o Tableau Server inicial para SSL, em seguida, copie o mesmo certificado SSL e arquivos chave para o nó 2 e nó 3 para o mesmo local do nó inicial.

Preparação do ambiente

Coloque os arquivos de certificado em uma pasta chamada SSL, paralelamente à pasta do Tableau Server 2019.1. Por exemplo:

C:\Program Files\Tableau\Tableau Server\SSL

Esse local fornece à conta que está executando o Tableau Server as permissões necessárias para os arquivos. Talvez seja necessário criar essa pasta.

Configurar o SSL no Tableau Server

Use o método mais confortável para você.

  1. Abra o TSM em um navegador:

    https://<tsm-computer-name>:8850. Para obter mais informações, consulte Fazer logon na interface do usuário na Web do Tableau Services Manager.

  2. Na guia Configuração, selecione Segurança > SSL externo.

  3. Em SSL do servidor Web externo, selecione Habilitar SSL para comunicação do servidor.

  4. Faça upload do certificado e arquivos-chave e, caso necessário para seu ambiente, faça upload do arquivo de cadeia e insira a fase secreta de chave:

    Configure  SSL screenshot

  5. Clique em Salvar alterações pendentes.

  6. Clique em Alterações pendentes na parte superior da página:

  7. Clique em Aplicar alterações e reiniciar.

Depois de copiar os arquivos de certificado no computador local, execute os comandos a seguir:

tsm security external-ssl enable --cert-file <path-to-file.crt> --key-file <path-to-file.key>

tsm pending-changes apply

Consulte a referência de comando em tsm security external-ssl enable para determinar se deseja incluir opções adicionais a external-ssl enable. O Tableau tem recomendações específicas para a opção --protocols.

O comando external-ssl enable command importa as informações dos arquivos .crt e .key. Quando este comando é executado em um nó de um cluster do Tableau Server, ele também distribui as informações para qualquer outro nó de gateway.

O comando pending-changes apply exibe um prompt para informar que reiniciará o Tableau Server se o servidor estiver em execução. O prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Para obter mais informações, consulte tsm pending-changes apply.

Redirecionamento e registros de porta

Após configurar o servidor para SSL, ele aceita solicitações para a porta não SSL (o padrão é a porta 80) e automaticamente redireciona para a porta SSL 443.

Observação: o Tableau Server oferece suporte apenas à porta 443 como a porta segura. Ele não pode ser executado em um computador em que qualquer outro aplicativo esteja usando a porta 443.

Os erros de SSL são registrados no seguinte local. Use esse registro para solucionar problemas de validação e criptografia:

\ProgramData\Tableau\Tableau Server\data\tabsvc\logs\httpd\error.log