配置 Server SSL/TLS
Server 支持通过 HTTPS 进行 TLS(传输层安全)和 SSL(安全套接字层)加密,确保 Designer 和 Server 之间的通信,以及用户的 Web 浏览器和您公司的 Alteryx Server UI 之间的所有通信安全有保障。
注意
Server-FIPS
AlteryxService 现在支持使用 TLS 来进行内部和直接服务层通信。对于 Server-FIPS,已为所有服务启用了 TLS,而且无法禁用。由于此变化,您必须在控制器和 Server UI 节点上安装 X.509 (TLS) 证书。这使得 TLS 可以用于节点之间的通信。我们建议在托管 Server 的所有计算机上安装证书,无论其配置如何。
重要
我们建议让 IT 网络管理员参与配置 TLS/SSL。TLS/SSL 配置需要操作人具有通过证书颁发机构 (CA) 创建、分发和验证 TLS/SSL 文件的专业知识。
使用公认的 CA 给 TLS/SSL 证书签名。
我们建议您使用 TLS (SSL) 证书。
不建议在生产部署中使用自签名证书。
在您的计算机上启用 SSL 之前,请从受信任的证书颁发机构 (CA) 为您公司的 Alteryx Server UI 获取 TLS/SSL 证书。您为证书指定的 Subject 或 Subject Alternative Name 必须与您要用于 Server 网站网域的地址匹配( System Settings(系统设置) 中 Server UI Configuration(Server UI 配置) 屏幕上的 Base Address(基址) )。如需详细了解如何设置 Base Address(基址) ,请转至 Server UI 帮助页面。
获取 TLS/SSL 证书后,您需要将 Alteryx Server 配置为在用户访问您的网站时使用该证书。为此,证书指纹必须与计算机上的特定端口相关联。
第 1 步:在 Windows 中安装 TLS/SSL 证书
收到 CA 颁发的签名证书后,需要将其安装在 Windows 中。安装证书:
单击 Windows Start(开始) 按钮。
在 Search(搜索) 中输入 ,然后按 Enter 键。
在 Microsoft Management Console (MMC)【Microsoft 管理控制台 (MMC)】 中,从 File(文件) 菜单中选择 Add/Remove Snap-in(添加/删除管理单元) 。
在 Add Remove Snap-in(添加或删除管理单元) 对话框中,单击 Certificates(证书) ,然后单击 Add(添加) 。
在 Add Standalone Snap-in(添加独立管理单元) 对话框中,单击 Certificates(证书) ,然后单击 Add(添加) 。
在 Certificates snap-in(证书管理单元) 对话框中,单击 Computer account(计算机帐户) ,然后单击 Next(下一步) 。
在 选择计算机 对话框中,让默认 本地计算机 保持选中状态,然后单击 完成 。
在 Add Standalone Snap-in(添加独立管理单元) 对话框中,单击 Close(关闭) 。
在 Add/Remove Snap-in(添加/删除管理单元) 对话框中,单击 OK(确定) 。
展开 Certificates(证书) > Personal(个人) 。
右键单击 Personal(个人) 下的 Certificates(证书) ,单击 All Tasks(所有任务) ,然后单击 Import(导入) 。
在 Certificate Import Wizard(证书导入向导) 上单击 Next(下一步) 。
在 File to Import(要导入的文件) 对话框上单击 Browse(浏览) 并浏览到 CA 提供的文件,然后单击 Next(下一步) 。
如果证书包含私钥,则在出现提示时输入密码。
选中 Mark this key as exportable(将此密钥标记为可导出) ,然后单击 Next(下一步) 。
单击 Place all certificates in the following store(将所有的证书都放入下列存储) ,浏览到 Personal(个人) ,然后单击 Next(下一步) 。
在 Completing the Certificate Import Wizard(正在完成证书导入向导) 对话框上单击 Finish(完成) ,将证书导入 Windows 个人证书存储。
第 2 步:获取 TLS/SSL 证书指纹
获取证书的指纹:
单击 Windows Start(开始) 按钮。
在 Search(搜索) 中输入 ,然后按 Enter 键。
在 Microsoft Management Console (MMC)【Microsoft 管理控制台 (MMC)】 中,从 File(文件) 菜单中选择 Add/Remove Snap-in(添加/删除管理单元) 。
在 Add Remove Snap-in(添加或删除管理单元) 对话框中,单击 Certificates(证书) ,然后单击 Add(添加) 。
在 Add Standalone Snap-in(添加独立管理单元) 对话框中,单击 Certificates(证书) ,然后单击 Add(添加) 。
在 Certificates snap-in(证书管理单元) 对话框中,单击 Computer account(计算机帐户) ,然后单击 Next(下一步) 。
在 选择计算机 对话框中,让默认 本地计算机 保持选中状态,然后单击 完成 。
在 Add Standalone Snap-in(添加独立管理单元) 对话框中,单击 Close(关闭) 。
在 Add/Remove Snap-in(添加/删除管理单元) 对话框中,单击 OK(确定) 。
展开 Certificates(证书) > Personal(个人) 。
右键单击 第 1 步Install a TLS/SSL Certificate in Windows(在 Windows 中安装 TLS/SSL 证书) ,然后单击 Open(打开) 。
单击 Details(详情) 选项卡。
滚动浏览列表并突出显示 Thumbprint(指纹) 。
底部框中显示的值是证书的指纹。将该值复制并粘贴到文本编辑器中以删除所有空格。配置端口时使用此值。
第 3 步:将端口配置为使用 TLS/SSL 证书
将证书指纹与特定端口相关联:
单击 Windows Start(开始) 按钮。
在 Search(搜索) 中输入 ,然后按 Enter 键。
编辑示例命令。 示例命令
http add sslcert ipport=0.0.0.0:443 certhash=0000000000003ed9cd0c315bbb6dc1c08da5e6 AppID={eea9431a-a3d4-4c9b-9f9a-b83916c11c67}
将 值替换为不带空格的证书指纹值。
如果要使用默认端口 (443) 以外的端口,请修改 值。
保持 不变,因为它是 Server 的应用程序 ID。
将生成的命令粘贴到 netsh 控制台,然后按 Enter 键以将证书与给定端口相关联。
在 netsh 控制台中运行此命令,以验证证书关联和成功安装。
HTTP显示sslcert
。
系统会列出所有 SSL 证书关联及其相应的端口。
第 4 步:配置 Server TLS/SSL
在证书与端口相关联后,必须更改 Server 配置以接受通过 HTTPS 而不是 HTTP 传递的 Web 请求。如果您将证书与默认端口 (443) 以外的端口相关联,则必须将 Alteryx Server 配置为使用该端口。
双击桌面上的 System Settings(系统设置) 图标。
在 Alteryx System Settings(系统设置) 中的每个屏幕上单击 Next(下一步) ,以导航到 Gallery 屏幕。
验证 Base Address(基址) 是否与 Subject 或受 TLS/SSL 证书保护的 Subject Alternative Name 相匹配。
在 Server UI General (服务器UI常规 )屏幕上,选择 Enable Server UI SSL/TLS (启用服务器UI SSL/TLS)。如果启用此选项,则会将 Base Address(基址) 字段中的 URL 更改为 HTTPS。
如果启用 SSL 且证书设置为默认端口 443 以外的端口,请在 Base Address(基址) 中指定该端口。例如,
https://localhost:445/gallery/
和https://localhost:445/webapi
。单击 Next(下一步) 继续在设置中导航。
单击 Finish 以关闭 系统设置 并重新启动 AlteryxService。
在有关 Server 的 系统设置 中启用 SSL 后,访问 Server 的用户将会看到 HTTPS,并且在其浏览器中 URL 前会显示一个调试图标。这意味着使用唯一的会话密钥建立安全连接,并且通信是安全的。
替换现有 TLS/SSL 证书
要替换或更新已过期或即将过期的证书,请执行以下步骤:
使用 第 1 步:Install a TLS/SSL Certificate in Windows(在Windows 中安装 TLS/SSL 证书) 中详述的步骤安装新证书。
停止 AlteryxService 。
单击 Windows Start(开始) 按钮。
在 Search(搜索) 中输入 ,然后按 Enter 键。
编辑示例命令。 示例命令
HTTP delete sslcert ipport=0.0.0.0:443
如果您使用默认端口 (443) 以外的端口,请修改 ipport 值。
将生成的命令粘贴到 netsh 控制台中,然后按 Enter 键以移除证书与给定端口的绑定。
在 netsh 控制台中运行此命令,验证关联是否已移除。
HTTP显示sslcert
使用 第 2 步:Obtain your TLS/SSL Certificates Thumbprint(获取 TLS/SSL 证书指纹) 中详述的步骤获取新的证书指纹。
使用 第 3 步:Configure a Port to Use the TLS/SSL Certificate(将端口配置为使用 TLS/SSL 证书) 中的步骤详细信息,将证书与给定端口相关联。
启动 AlteryxService 。