Skip to main content

配置 Server SSL/TLS

Server 支持通过 HTTPS 进行 TLS(传输层安全)和 SSL(安全套接字层)加密,确保 Designer 和 Server 之间的通信,以及用户的 Web 浏览器和您公司的 Alteryx Server UI 之间的所有通信安全有保障。

注意

Server-FIPS

AlteryxService 现在支持使用 TLS 来进行内部和直接服务层通信。对于 Server-FIPS,已为所有服务启用了 TLS,而且无法禁用。由于此变化,您必须在控制器和 Server UI 节点上安装 X.509 (TLS) 证书。这使得 TLS 可以用于节点之间的通信。我们建议在托管 Server 的所有计算机上安装证书,无论其配置如何。

重要

  • 我们建议让 IT 网络管理员参与配置 TLS/SSL。TLS/SSL 配置需要操作人具有通过证书颁发机构 (CA) 创建、分发和验证 TLS/SSL 文件的专业知识。

  • 使用公认的 CA 给 TLS/SSL 证书签名。

  • 我们建议您使用 TLS (SSL) 证书。

  • 不建议在生产部署中使用自签名证书。

在您的计算机上启用 SSL 之前,请从受信任的证书颁发机构 (CA) 为您公司的 Alteryx Server UI 获取 TLS/SSL 证书。您为证书指定的  Subject  或 Subject Alternative Name 必须与您要用于 Server 网站网域的地址匹配( System Settings(系统设置) Server UI Configuration(Server UI 配置) 屏幕上的 Base Address(基址) )。如需详细了解如何设置 Base Address(基址) ,请转至 Server UI 帮助页面。

获取 TLS/SSL 证书后,您需要将 Alteryx Server 配置为在用户访问您的网站时使用该证书。为此,证书指纹必须与计算机上的特定端口相关联。

第 1 步:在 Windows 中安装 TLS/SSL 证书

收到 CA 颁发的签名证书后,需要将其安装在 Windows 中。安装证书:

  1. 单击 Windows Start(开始) 按钮。

  2. Search(搜索) 中输入 ,然后按 Enter 键。

  3. Microsoft Management Console (MMC)【Microsoft 管理控制台 (MMC)】 中,从 File(文件) 菜单中选择 Add/Remove Snap-in(添加/删除管理单元)

  4. Add Remove Snap-in(添加或删除管理单元) 对话框中,单击 Certificates(证书) ,然后单击 Add(添加)

  5. Add Standalone Snap-in(添加独立管理单元) 对话框中,单击 Certificates(证书) ,然后单击 Add(添加)

  6. Certificates snap-in(证书管理单元) 对话框中,单击 Computer account(计算机帐户) ,然后单击 Next(下一步)

  7. 选择计算机 对话框中,让默认 本地计算机 保持选中状态,然后单击 完成

  8. Add Standalone Snap-in(添加独立管理单元) 对话框中,单击 Close(关闭)

  9. Add/Remove Snap-in(添加/删除管理单元) 对话框中,单击 OK(确定)

  10. 展开 Certificates(证书) > Personal(个人)

  11. 右键单击 Personal(个人) 下的 Certificates(证书) ,单击 All Tasks(所有任务) ,然后单击 Import(导入)

  12. Certificate Import Wizard(证书导入向导) 上单击 Next(下一步)

  13. File to Import(要导入的文件) 对话框上单击 Browse(浏览) 并浏览到 CA 提供的文件,然后单击 Next(下一步)

  14. 如果证书包含私钥,则在出现提示时输入密码。

  15. 选中 Mark this key as exportable(将此密钥标记为可导出) ,然后单击 Next(下一步)

  16. 单击 Place all certificates in the following store(将所有的证书都放入下列存储) ,浏览到 Personal(个人) ,然后单击 Next(下一步)

  17. Completing the Certificate Import Wizard(正在完成证书导入向导) 对话框上单击 Finish(完成) ,将证书导入 Windows 个人证书存储。

第 2 步:获取 TLS/SSL 证书指纹

获取证书的指纹:

  1. 单击 Windows Start(开始) 按钮。

  2. Search(搜索) 中输入 ,然后按 Enter 键。

  3. Microsoft Management Console (MMC)【Microsoft 管理控制台 (MMC)】 中,从 File(文件) 菜单中选择 Add/Remove Snap-in(添加/删除管理单元)

  4. Add Remove Snap-in(添加或删除管理单元) 对话框中,单击 Certificates(证书) ,然后单击 Add(添加)

  5. Add Standalone Snap-in(添加独立管理单元) 对话框中,单击 Certificates(证书) ,然后单击 Add(添加)

  6. Certificates snap-in(证书管理单元) 对话框中,单击 Computer account(计算机帐户) ,然后单击 Next(下一步)

  7. 选择计算机 对话框中,让默认 本地计算机 保持选中状态,然后单击 完成

  8. Add Standalone Snap-in(添加独立管理单元) 对话框中,单击 Close(关闭)

  9. Add/Remove Snap-in(添加/删除管理单元) 对话框中,单击 OK(确定)

  10. 展开 Certificates(证书) > Personal(个人)

  11. 右键单击 第 1 步Install a TLS/SSL Certificate in Windows(在 Windows 中安装 TLS/SSL 证书) ,然后单击 Open(打开)

  12. 单击 Details(详情) 选项卡。

  13. 滚动浏览列表并突出显示 Thumbprint(指纹)

  14. 底部框中显示的值是证书的指纹。将该值复制并粘贴到文本编辑器中以删除所有空格。配置端口时使用此值。

第 3 步:将端口配置为使用 TLS/SSL 证书

将证书指纹与特定端口相关联:

  1. 单击 Windows Start(开始) 按钮。

  2. Search(搜索) 中输入 ,然后按 Enter 键。

  3. 编辑示例命令。 示例命令

    http add sslcert ipport=0.0.0.0:443 certhash=0000000000003ed9cd0c315bbb6dc1c08da5e6 AppID={eea9431a-a3d4-4c9b-9f9a-b83916c11c67}

    1. 将 值替换为不带空格的证书指纹值。

    2. 如果要使用默认端口 (443) 以外的端口,请修改 值。

    3. 保持 不变,因为它是 Server 的应用程序 ID。

  4. 将生成的命令粘贴到 netsh 控制台,然后按 Enter 键以将证书与给定端口相关联。

  5. 在 netsh 控制台中运行此命令,以验证证书关联和成功安装。

    HTTP显示sslcert

系统会列出所有 SSL 证书关联及其相应的端口。

第 4 步:配置 Server TLS/SSL

在证书与端口相关联后,必须更改 Server 配置以接受通过 HTTPS 而不是 HTTP 传递的 Web 请求。如果您将证书与默认端口 (443) 以外的端口相关联,则必须将 Alteryx Server 配置为使用该端口。

  1. 双击桌面上的 System Settings(系统设置) 图标。

  2. Alteryx System Settings(系统设置) 中的每个屏幕上单击 Next(下一步) ,以导航到 Gallery 屏幕。

  3. 验证 Base Address(基址) 是否与 Subject 或受 TLS/SSL 证书保护的 Subject Alternative Name 相匹配。

  4. Server UI General (服务器UI常规 )屏幕上,选择 Enable Server UI SSL/TLS (启用服务器UI SSL/TLS)。如果启用此选项,则会将 Base Address(基址) 字段中的 URL 更改为 HTTPS。

  5. 如果启用 SSL 且证书设置为默认端口 443 以外的端口,请在 Base Address(基址) 中指定该端口。例如, https://localhost:445/gallery/ https://localhost:445/webapi

  6. 单击 Next(下一步) 继续在设置中导航。

  7. 单击 Finish 以关闭 系统设置 并重新启动 AlteryxService。

在有关 Server 的 系统设置 中启用 SSL 后,访问 Server 的用户将会看到 HTTPS,并且在其浏览器中 URL 前会显示一个调试图标。这意味着使用唯一的会话密钥建立安全连接,并且通信是安全的。

替换现有 TLS/SSL 证书

要替换或更新已过期或即将过期的证书,请执行以下步骤:

  1. 使用 第 1 步:Install a TLS/SSL Certificate in Windows(在Windows 中安装 TLS/SSL 证书) 中详述的步骤安装新证书。

  2. 停止 AlteryxService

  3. 单击 Windows Start(开始) 按钮。

  4. Search(搜索) 中输入 ,然后按 Enter 键。

  5. 编辑示例命令。 示例命令

    HTTP delete sslcert ipport=0.0.0.0:443

    • 如果您使用默认端口 (443) 以外的端口,请修改 ipport 值。

  6. 将生成的命令粘贴到 netsh 控制台中,然后按 Enter 键以移除证书与给定端口的绑定。

  7. 在 netsh 控制台中运行此命令,验证关联是否已移除。

    HTTP显示sslcert

  8. 使用 第 2 步:Obtain your TLS/SSL Certificates Thumbprint(获取 TLS/SSL 证书指纹) 中详述的步骤获取新的证书指纹。

  9. 使用 第 3 步:Configure a Port to Use the TLS/SSL Certificate(将端口配置为使用 TLS/SSL 证书) 中的步骤详细信息,将证书与给定端口相关联。

  10. 启动 AlteryxService