Configurar SSL/TLS no Server
O Server é compatível com criptografia TLS (Transport Layer Security) e SSL (Secure Socket Layer) para HTTPS, o que garante uma comunicação segura e protegida entre o Designer e o Server, bem como qualquer comunicação entre o navegador da Web de um usuário e a IU do Server da sua empresa.
Nota
Server-FIPS
O AlteryxService agora é compatível com TLS para comunicação interna e direta da camada de serviço. Para o Server-FIPS, TLS está habilitado para todos os serviços e não pode ser desabilitado. Devido a essa alteração, é necessário instalar um certificado X.509 (TLS) nos nós da IU do Server e do controlador. Isso permite que a comunicação entre nós funcione com TLS. Recomendamos a instalação de certificados em todas as máquinas que hospedam o Server, independentemente de sua configuração.
Importante
Recomendamos que os administradores de rede de TI sejam envolvidos na configuração de TLS/SSL. A configuração de TLS/SSL requer experiência na criação, distribuição e certificação de arquivos TLS/SSL por meio de uma Autoridade de Certificação (CA).
Use uma CA reconhecida para assinar seus certificados TLS/SSL.
Recomendamos usar um certificado TLS (SSL).
Certificados autoassinados não são recomendados para implantações de produção.
Antes de habilitar SSL em sua máquina, obtenha um certificado TLS/SSL para a IU do Alteryx Server da sua empresa de uma Autoridade de Certificação (CA) confiável. A Entidade ou o Nome alternativo da entidade que você especifica para o certificado deve corresponder ao endereço que deseja usar para o domínio do site do Server (o endereço no campo Base Address na tela Server UI Configuration das Configurações do sistema ). Vá para a página de ajuda IU do Server para obter mais informações sobre como as configurações de Base Address .
Depois de obter um certificado TLS/SSL, você precisa configurar o Alteryx Server para usar esse certificado quando os usuários visitarem seu site. Para isso, a impressão digital do certificado precisa estar associada a uma porta específica no computador.
Etapa 1. Instalar um certificado TLS/SSL no Windows
Depois de receber o certificado assinado da CA, ele precisa ser instalado no Windows. Para instalar o certificado:
Selecione o botão Iniciar do Windows.
Digite em Pesquisar e pressione Enter .
No Console de Gerenciamento Microsoft (MMC) , selecione Adicionar/remover snap-in no menu Arquivo .
Na caixa de diálogo Adicionar ou Remover Snap-ins , selecione Certificados e clique em Adicionar .
Na caixa de diálogo Adicionar snap-in autônomo , selecione Certificados e clique em Adicionar .
Na caixa de diálogo Snap-in de certificados , selecione Conta de computador e clique em Avançar .
Na caixa de diálogo Selecionar computador , deixe a opção padrão Computador local selecionada e clique em Concluir .
Na caixa de diálogo Adicionar snap-in autônomo , selecione Fechar .
Na caixa de diálogo Adicionar/remover snap-in , selecione OK .
Expanda Certificados > Pessoal .
Clique com o botão direito do mouse em Certificados dentro da pasta Pessoal , selecione Todas as tarefas e, em seguida, Importar .
Clique em Avançar no Assistente para importação de certificados .
Selecione Procurar na caixa de diálogo Arquivo a Ser Importado , navegue até o arquivo fornecido pela CA e clique em Avançar .
Se o certificado incluir a chave privada, digite a senha quando solicitado.
Marque Marcar esta chave como exportável e clique em Avançar .
Selecione Colocar todos os certificados no repositório a seguir , navegue até Pessoal e clique em Avançar .
Clique em Concluir na caixa de diálogo Concluindo o Assistente para Importação de Certificados para importar o certificado para o repositório de certificados pessoais do Windows.
Etapa 2. Obter a impressão digital de certificados TLS/SSL
Obtenha a impressão digital do certificado:
Selecione o botão Iniciar do Windows.
Digite em Pesquisar e pressione Enter .
No Console de Gerenciamento Microsoft (MMC) , selecione Adicionar/remover snap-in no menu Arquivo .
Na caixa de diálogo Adicionar ou Remover Snap-ins , selecione Certificados e clique em Adicionar .
Na caixa de diálogo Adicionar snap-in autônomo , selecione Certificados e clique em Adicionar .
Na caixa de diálogo Snap-in de certificados , selecione Conta de computador e clique em Avançar .
Na caixa de diálogo Selecionar computador , deixe a opção padrão Computador local selecionada e clique em Concluir .
Na caixa de diálogo Adicionar snap-in autônomo , selecione Fechar .
Na caixa de diálogo Adicionar/remover snap-in , selecione OK .
Expanda Certificados > Pessoal .
Clique com o botão direito do mouse no certificado importado na Etapa 1 . Instalar um Certificado TLS/SSL no Windows e clique em Abrir .
Selecione a guia Detalhes .
Role pela lista e realce Impressão digital .
O valor exibido na caixa na parte inferior é a impressão digital do certificado. Copie e cole o valor em um editor de texto para remover todos os espaços. Use esse valor ao configurar a porta.
Etapa 3. Configurar uma porta para usar o certificado TLS/SSL
Para associar a impressão digital do certificado a uma porta específica:
Selecione o botão Iniciar do Windows.
Digite em Pesquisar e pressione Enter .
Edite o comando de exemplo. Comando de exemplo
http add sslcert ipport 0,0.0,0:443 certhash{eea9431a-a3d4-4c9b-9f9a-b83916c11c67}
Substitua o valor de pelo valor da impressão digital do certificado sem os espaços.
Modifique o valor de se quiser usar uma porta diferente da padrão (443).
Deixe o como está, pois este é o ID de aplicativo para o Server.
Cole o comando resultante no console netsh e pressione Enter para associar o certificado à porta fornecida.
Verifique a associação e a instalação bem-sucedida do certificado executando este comando no console netsh.
http show sslcert .
Todas as associações de certificados SSL e suas respectivas portas serão listadas.
Etapa 4. Configurar o Server para TLS/SSL
Depois que o certificado é associado a uma porta, a configuração do Server precisa ser alterada para aceitar solicitações da web via HTTPS em vez de HTTP. Se você associou o certificado a uma porta diferente do padrão (443), o Alteryx Server precisa ser configurado para utilizá-la.
Clique duas vezes no ícone Configurações de sistema do Alteryx na sua área de trabalho.
Clique em Avançar em cada tela das Configurações do sistema para navegar até as telas IU do Server .
Verifique se o endereço em Base Address corresponde à Entidade ou ao Nome alternativo da entidade protegido pelo certificado TLS/SSL.
Na tela Geral da IU do servidor, selecione Habilitar SSL/TLS da UI do servidor . A habilitação desta opção altera o URL no campo Base Address para HTTPS.
Se você habilitar SSL e seu certificado for definido para uma porta diferente do padrão 443, especifique a porta em Base Address . Por exemplo
, https://localhost:445/gallery/
ehttps://localhost:445/webapi
.Selecione Next para continuar navegando pelas configurações.
Selecione Finish para fechar as Configurações do sistema e reiniciar o AlteryxService.
Depois de habilitar o SSL nas Configurações do sistema do Server, os usuários que acessarem o Server verão "HTTPS" e um ícone de ajuste será exibido antes do URL no navegador. Isso significa que uma conexão segura foi estabelecida com uma chave de sessão exclusiva e as comunicações são seguras.
Substituir um certificado TLS/SSL existente
Para substituir ou atualizar um certificado que expirou ou que expirará em breve, siga estas etapas:
Instale o novo certificado utilizando os passos detalhados na Etapa 1 . Instalar um certificado TLS/SSL no Windows .
Pare o AlteryxService .
Selecione o botão Iniciar do Windows.
Digite em Pesquisar e pressione Enter .
Edite o comando de exemplo. Comando de exemplo
http delete sslcert ipport 0,0.0,0:443
Modifique o valor de ipport se você usou uma porta diferente da padrão (443).
Cole o comando resultante no console netsh e pressione Enter para remover a vinculação do certificado com a porta fornecida.
Verifique se a associação foi removida executando este comando no console netsh.
http show sslcert
Obtenha a impressão digital dos novos certificados utilizando os passos detalhados na Etapa 2 . Obter a impressão digital de certificados TLS/SSL .
Associe o certificado a uma determinada porta utilizando os passos detalhados na Etapa 3 . Configurar uma porta para usar o certificado TLS/SSL .
Inicie o AlteryxService .