Skip to main content

SSL/TLS für Server konfigurieren

Alteryx Server unterstützt sowohl TLS (Transport Layer Security)- als auch SSL (Secure Socket Layer)-Verschlüsselung für HTTPS, um eine sichere Kommunikation zwischen Alteryx Designer und Alteryx Server sowie sämtliche Kommunikation zwischen dem Webbrowser eines Benutzers und der Alteryx Server-Benutzeroberfläche Ihres Unternehmens zu gewährleisten.

Anmerkung

Server-FIPS

AlteryxService unterstützt jetzt TLS für die interne und direkte Kommunikation auf Dienstebene. Bei Server-FIPS ist TLS für alle Dienste aktiviert und kann nicht deaktiviert werden. Aufgrund dieser Änderung müssen Sie ein X.509 (TLS)-Zertifikat auf die Knoten des Controllers und der Server-Benutzeroberfläche installieren. Dies ermöglicht die Kommunikation zwischen Knoten mit TLS. Wir empfehlen unabhängig von ihrer Konfiguration die Installation von Zertifikaten auf allen Rechnern, die Server hosten.

Wichtig

  • Wir empfehlen, die TLS-/SSL-Konfiguration von IT-Netzwerkadministratoren durchführen zu lassen. Für die TLS-/SSL-Konfiguration ist das Erstellen, Verteilen und Zertifizieren von TLS-/SSL-Dateien über eine Zertifizierungsstelle (Certificate Authority, CA) erforderlich.

  • Verwenden Sie eine anerkannte Zertifizierungsstelle, um Ihre TLS-/SSL-Zertifikate zu signieren.

  • Wir empfehlen die Verwendung eines TLS (SSL)-Zertifikats.

  • Von selbstsignierten Zertifikaten für die Produktionsimplementierung wird abgeraten.

Bevor Sie SSL auf dem Rechner aktivieren, benötigen Sie von einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) ein gültiges SSL-/TLS-Zertifikat für die Alteryx Server-Benutzeroberfläche Ihres Unternehmens. Der für das Zertifikat angegebene Antragsteller oder Alternative Antragstellername muss mit der Adresse übereinstimmen, die Sie für Ihre Server-Websitedomäne verwenden möchten (die Basisadresse in den Systemeinstellungen auf dem Bildschirm Server UI Configuration ). Weitere Informationen zum Festlegen der Basisadresse finden Sie auf der Hilfeseite Server-Benutzeroberfläche .

Nach Erhalt des TLS-/SSL-Zertifikats müssen Sie Alteryx Server so konfigurieren, dass dieses Zertifikat verwendet wird, wenn Benutzer Ihre Seite besuchen. Hierzu muss der Zertifikatfingerabdruck mit einem spezifischen Port auf dem Rechner verknüpft werden.

1. Schritt: TLS-/SSL-Zertifikat unter Windows installieren

Sobald Sie das signierte Zertifikat von der Zertifizierungsstelle erhalten haben, muss es unter Windows installiert werden. So installieren Sie das Zertifikat:

  1. Wählen Sie im Windows-Menü die Schaltfläche Start aus.

  2. Geben Sie in die Suche ein und drücken Sie dann die Eingabetaste .

  3. Wählen Sie in der Microsoft Management Console (MMC) aus dem Menü Datei die Option Snap‑In hinzufügen/entfernen aus.

  4. Wählen Sie im Dialogfeld Snap‑In hinzufügen/entfernen die Zertifikate -Option und dann Hinzufügen aus.

  5. Wählen Sie im Dialogfeld Eigenständiges Snap‑In hinzufügen die Zertifikate -Option und dann Hinzufügen aus.

  6. Wählen Sie im Dialogfeld Zertifikat-Snap‑In die Option Computerkonto und dann Weiter aus.

  7. Behalten Sie im Dialogfeld Computer auswählen die Standardauswahl Lokaler Computer bei und wählen Sie Fertig stellen aus.

  8. Wählen Sie im Dialogfeld Eigenständiges Snap‑In hinzufügen die Option Schließen aus.

  9. Wählen Sie im Dialogfeld Snap‑In hinzufügen/entfernen die Option OK aus.

  10. Erweitern Sie die Einträge Zertifikate > Persönlich .

  11. Klicken Sie unter Persönlich mit der rechten Maustaste auf Zertifikate , wählen Sie Alle Aufgaben und dann Importieren aus.

  12. Wählen Sie im Zertifikatimport-Assistent die Option Weiter aus.

  13. Wählen Sie im Dialogfeld Zu importierende Datei die Option Durchsuchen aus, navigieren Sie zu der von Ihrer Zertifizierungsstelle bereitgestellten Datei und wählen Sie dann Weiter aus.

  14. Wenn das Zertifikat den privaten Schlüssel enthält, geben Sie nach Aufforderung das Kennwort ein.

  15. Aktivieren Sie das Kontrollkästchen Schlüssel als exportierbar markieren und wählen Sie Weiter aus.

  16. Wählen Sie Alle Zertifikate in folgendem Speicher speichern aus, navigieren Sie zu Persönlich und wählen Sie Weiter aus.

  17. Wählen Sie im Dialogfeld Fertigstellen des Assistenten Fertig stellen aus, um das Zertifikat in den Zertifikatspeicher von Windows Personal zu importieren.

2. Schritt: TLS-/SSL-Zertifikatfingerabdruck abrufen

So rufen Sie den Fingerabdruck des Zertifikats ab:

  1. Wählen Sie im Windows-Menü die Schaltfläche Start aus.

  2. Geben Sie in die Suche ein und drücken Sie dann die Eingabetaste .

  3. Wählen Sie in der Microsoft Management Console (MMC) aus dem Menü Datei die Option Snap‑In hinzufügen/entfernen aus.

  4. Wählen Sie im Dialogfeld Snap‑In hinzufügen/entfernen die Zertifikate -Option und dann Hinzufügen aus.

  5. Wählen Sie im Dialogfeld Eigenständiges Snap‑In hinzufügen die Zertifikate -Option und dann Hinzufügen aus.

  6. Wählen Sie im Dialogfeld Zertifikat-Snap‑In die Option Computerkonto und dann Weiter aus.

  7. Behalten Sie im Dialogfeld Computer auswählen die Standardauswahl Lokaler Computer bei und wählen Sie Fertig stellen aus.

  8. Wählen Sie im Dialogfeld Eigenständiges Snap‑In hinzufügen die Option Schließen aus.

  9. Wählen Sie im Dialogfeld Snap‑In hinzufügen/entfernen die Option OK aus.

  10. Erweitern Sie die Einträge Zertifikate > Persönlich .

  11. Klicken Sie mit der rechten Maustaste auf das importierte Zertifikat aus dem 1. Schritt: SSL-/TLS-Zertifikat unter Windows installieren und wählen Sie Öffnen aus.

  12. Wählen Sie die Registerkarte Details aus.

  13. Blättern Sie in der Liste und markieren Sie den Eintrag Fingerabdruck .

  14. Der im Feld unten angezeigte Wert ist der Fingerabdruck des Zertifikats. Kopieren Sie den Wert und fügen Sie diesen in einen Text-Editor ein, um alle Leerzeichen zu entfernen. Verwenden Sie diesen Wert beim Konfigurieren des Ports.

3. Schritt: Port für die Verwendung des SSL-/TLS-Zertifikats konfigurieren

So verknüpfen Sie den Zertifikatfingerabdruck mit einem bestimmten Port:

  1. Wählen Sie im Windows-Menü die Schaltfläche Start aus.

  2. Geben Sie in die Suche ein und drücken Sie dann die Eingabetaste .

  3. Bearbeiten Sie den Beispielbefehl. Beispielbefehl:

    http add sslcert ipport=0.0.0.0:443 certhash=0000000000003ed9cd0c315bbb6dc1c08da5e6 appid={eea9431a-a3d4-4c9b-9f9a-b83916c11c67}

    1. Ersetzen Sie den Wert für „certhash“ mit dem Wert des Zertifikatfingerabdrucks ohne Leerzeichen.

    2. Ändern Sie den Wert „ipport“, wenn nicht der Standardport 443 verwendet werden soll.

    3. Behalten Sie den -Wert bei, da dies die Anwendungs-ID für den Server ist.

  4. Fügen Sie den daraus resultierenden Befehl in die Netsh-Konsole ein und drücken Sie die Eingabetaste , um das Zertifikat mit dem jeweiligen Port zu verknüpfen.

  5. Überprüfen Sie die Verknüpfung und die erfolgreiche Installation des Zertifikats, indem Sie diesen Befehl in der Netsh-Konsole ausführen:

    http show sslcert

Es werden alle SSL-Zertifikatverknüpfungen und die jeweiligen Ports aufgelistet.

4. Schritt: Server für TLS/SSL konfigurieren

Nachdem das Zertifikat mit einem Port verknüpft wurde, muss die Server-Konfiguration so geändert werden, dass Webanfragen über HTTPS anstelle von HTTP akzeptiert werden. Wenn Sie das Zertifikat mit einem anderen Port als dem Standardport (443) verknüpft haben, muss Alteryx Server für die Verwendung dieses Ports konfiguriert werden.

  1. Doppelklicken Sie auf dem Desktop auf das Symbol für die Systemeinstellungen .

  2. Wählen Sie in den Alteryx-Systemeinstellungen auf jedem Bildschirm Weiter aus, um zu den Gallery -Bildschirmen zu navigieren.

  3. Überprüfen Sie, ob die Basisadresse mit dem Antragsteller oder dem Alternativen Antragstellernamen übereinstimmt, der durch das SSL-/TLS-Zertifikat geschützt ist.

  4. Wählen Sie im Bildschirm Server UI Allgemein die Option Server UI SSL/TLS aktivieren aus . Wenn Sie diese Option aktivieren, wird die URL im Feld Basisadresse in HTTPS geändert.

  5. Wenn SSL aktiviert ist und Ihr Zertifikat nicht den Standardport 443 verwendet, geben Sie auch den Port in der URL der Basisadresse an Zum Beispiel https://localhost:445/gallery/ und https://localhost:445/webapi .

  6. Wählen Sie Next aus, um weiter durch die Einstellungen zu navigieren.

  7. Wählen Sie Finish aus, um die System Settings zu schließen und starten Sie den AlteryxService erneut.

Nach Aktivierung von SSL in den Server- Systemeinstellungen wird Benutzern, die zu Server navigieren, HTTPS und das sog. Tune-Symbol vor der URL im Browser angezeigt. Dies bedeutet, dass eine sichere Verbindung mit einem eindeutigen Sitzungsschlüssel hergestellt wurde und die Kommunikation sicher ist.

Ein vorhandenes SSL-/TLS-Zertifikat ersetzen

Gehen Sie wie folgt vor, um ein abgelaufenes oder demnächst auslaufendes Zertifikat zu ersetzen oder zu aktualisieren:

  1. Installieren Sie das neue Zertifikat. Die Anweisungen dazu finden Sie im 1. Schritt: SSL-/TLS-Zertifikat unter Windows installieren .

  2. Beenden Sie den AlteryxService .

  3. Wählen Sie im Windows-Menü die Schaltfläche Start aus.

  4. Geben Sie in die Suche ein und drücken Sie dann die Eingabetaste .

  5. Bearbeiten Sie den Beispielbefehl. Beispielbefehl:

    http delete sslcert ipport=0,0.0,0:443

    • Ändern Sie den ipport-Wert, wenn Sie einen anderen Port als den Standardport (443) verwendet haben.

  6. Fügen Sie den daraus resultierenden Befehl in die Netsh-Konsole ein und drücken Sie die Eingabetaste , um die Zertifikatbindung mit dem jeweiligen Port zu entfernen.

  7. Überprüfen Sie, ob die Verknüpfung entfernt wurde, indem Sie diesen Befehl in der Netsh-Konsole ausführen:

    http show sslcert

  8. Rufen Sie den neuen Zertifikatfingerabdruck ab. Die Anweisungen dazu finden Sie im 2. Schritt: TLS-/SSL-Zertifikatfingerabdruck abrufen .

  9. Verknüpfen Sie das Zertifikat mit einem spezifischen Port. Die Anweisungen dazu finden Sie im 3. Schritt: Port für die Verwendung des SSL-/TLS-Zertifikats konfigurieren .

  10. Starten Sie AlteryxService .