Configurazione di SSL/TLS per Server
Server supporta la crittografia TLS (Transport Layer Security) e SSL (Secure Socket Layer) per HTTPS per garantire comunicazioni sicure e protette tra Designer e Server, nonché tra il browser web di un utente e l'interfaccia utente di Alteryx Server aziendale.
Nota
Server-FIPS
AlteryxService ora supporta TLS per la comunicazione interna e diretta a livello di service layer. Per Server-FIPS, TLS è abilitato per tutti i servizi e non può essere disabilitato. Per via di questa modifica, è necessario installare un certificato X.509 (TLS) nei nodi del controller e dell'interfaccia utente di Server. Ciò consente la comunicazione tra i nodi per il funzionamento con TLS. Ti consigliamo di installare i certificati su tutti i computer che ospitano Server, indipendentemente dalla loro configurazione.
Importante
Ti consigliamo di coinvolgere gli amministratori della rete IT per configurare TLS/SSL. La configurazione di TLS/SSL richiede competenze nella creazione, distribuzione e certificazione dei file TLS/SSL tramite un'autorità di certificazione (CA).
Utilizza una CA riconosciuta per la firma dei certificati TLS/SSL.
Ti consigliamo di utilizzare un certificato TLS (SSL).
I certificati autofirmati non sono consigliati per le distribuzioni di produzione.
Prima di abilitare SSL sul computer, richiedi un certificato TLS/SSL per l'interfaccia utente di Alteryx Server aziendale a un'autorità di certificazione (CA) attendibile. Il soggetto o il nome alternativo del soggetto specificato per il certificato deve corrispondere all'indirizzo che desideri utilizzare per il dominio del sito web di Server ( Indirizzo base in Impostazioni di sistema nella schermata Configurazione interfaccia utente di Server ). Per maggiori informazioni sull'impostazione dell' indirizzo base , consulta la pagina di assistenza Interfaccia utente di Server .
Dopo aver ottenuto un certificato TLS/SSL, devi configurare Alteryx Server in modo che utilizzi tale certificato quando gli utenti visitano il sito. A tale scopo, l'identificazione personale del certificato deve essere associata a una porta specifica del computer.
Passaggio 1. Installa un certificato TLS/SSL in Windows.
Una volta ricevuto il certificato firmato dalla CA, devi installarlo in Windows. Per installare il certificato:
Seleziona il pulsante Start di Windows.
Immetti
mmc
in Cerca , quindi seleziona Invio .In Microsoft Management Console (MMC) , seleziona Aggiungi/Rimuovi snap-in nel menu File .
Nella finestra di dialogo Aggiungi/Rimuovi snap-in , seleziona Certificati , quindi scegli Aggiungi .
Nella finestra di dialogo Aggiungi snap-in autonomo , seleziona Certificati , quindi scegli Aggiungi .
Nella finestra di dialogo Snap-in certificati , seleziona Account del computer , quindi scegli Avanti .
Nella finestra di dialogo Seleziona computer , lascia selezionata l'opzione predefinita Computer locale e scegli Fine .
Nella finestra di dialogo Aggiungi snap-in autonomo , seleziona Chiudi .
Nella finestra di dialogo Aggiungi/Rimuovi snap-in , seleziona OK .
Espandi Certificati > Personale .
Fai clic con il pulsante destro del mouse su Certificati in Personale , seleziona Tutte le attività , quindi scegli Importa .
Seleziona Avanti in Importazione guidata Certificati .
Seleziona Sfoglia nella finestra di dialogo File da importare e scegli il file fornito dall'autorità di certificazione (CA), quindi seleziona Avanti .
Se il certificato include la chiave privata, quando richiesto, immetti la password.
Seleziona Contrassegna la chiave come esportabile e scegli Avanti .
Seleziona Colloca tutti i certificati nel seguente archivio , quindi scegli Personale e Avanti .
Seleziona Fine nella finestra di dialogo Completamento dell'Importazione guidata Certificati per importare il certificato nell'archivio dei certificati personali di Windows.
Passaggio 2. Richiedi l'identificazione personale dei certificati TLS/SSL.
Per ottenere l'identificazione personale del certificato:
Seleziona il pulsante Start di Windows.
Immetti
mmc
in Cerca , quindi seleziona Invio .In Microsoft Management Console (MMC) , seleziona Aggiungi/Rimuovi snap-in nel menu File .
Nella finestra di dialogo Aggiungi/Rimuovi snap-in , seleziona Certificati , quindi scegli Aggiungi .
Nella finestra di dialogo Aggiungi snap-in autonomo , seleziona Certificati , quindi scegli Aggiungi .
Nella finestra di dialogo Snap-in certificati , seleziona Account del computer , quindi scegli Avanti .
Nella finestra di dialogo Seleziona computer , lascia selezionata l'opzione predefinita Computer locale e scegli Fine .
Nella finestra di dialogo Aggiungi snap-in autonomo , seleziona Chiudi .
Nella finestra di dialogo Aggiungi/Rimuovi snap-in , seleziona OK .
Espandi Certificati > Personale .
Fai clic con il pulsante destro del mouse sul certificato importato nel passaggio 1 . Installa un certificato TLS/SSL in Windows e seleziona Apri .
Seleziona la scheda Dettagli .
Scorri l'elenco ed evidenzia Identificazione personale .
Il valore visualizzato nella casella in basso è l'identificazione personale del certificato. Copialo e incollalo in un editor di testo per rimuovere tutti gli spazi. Utilizza questo valore durante la configurazione della porta.
Passaggio 3. Configura una porta per l'utilizzo del certificato TLS/SSL.
Per associare l'identificazione personale del certificato a una porta specifica:
Seleziona il pulsante Start di Windows.
Immetti
netsh
in Cerca , quindi seleziona Invio .Modifica il comando di esempio. Comando di esempio
http add sslcert ipport=0.0.0.0:443 certhash=0000000000003ed9cd0c315bbb6dc1c08da5e6 appid={eea9431a-a3d4-4c9b-9f9a-b83916c11c67}
Sostituisci il valore
certhash
con il valore di identificazione personale del certificato senza spazi.Modifica il valore
ipport
se desideri utilizzare una porta diversa da quella predefinita (443).Lascia invariato il valore
appid
, poiché rappresenta l'ID applicazione per Server.
Incolla il comando risultante nella console netsh e seleziona Invio per associare il certificato alla porta indicata.
Verifica l'associazione e l'installazione del certificato eseguendo questo comando nella console netsh.
http show sslcert
.
Vengono elencate tutte le associazioni di certificati SSL e le relative porte.
Passaggio 4. Configura Server per TLS/SSL.
Dopo aver associato il certificato a una porta, è necessario modificare la configurazione di Server per accettare le richieste web tramite HTTPS anziché HTTP. Se hai associato il certificato a una porta diversa da quella predefinita (443), Alteryx Server deve essere configurato per l'utilizzo di tale porta.
Fai doppio clic sull'icona Impostazioni di sistema sul desktop.
Seleziona Avanti in ogni schermata in Impostazioni di sistema Alteryx per accedere alle schermate dell' interfaccia utente di Server .
Verifica che Indirizzo base e Indirizzo API Web corrispondano al soggetto o a un nome alternativo del soggetto protetto dal certificato TLS/SSL.
Nella schermata Interfaccia utente di Server - Generale , seleziona Abilita SSL/TLS interfaccia utente di Server . L'attivazione di questa opzione modifica l'URL nei campi Indirizzo base e Indirizzo API Web in HTTPS.
Se attivi SSL e il certificato è impostato su una porta diversa da quella predefinita (443), specifica la porta nei campi Indirizzo base e Indirizzo API Web . Ad esempio,
https://localhost:445/gallery/
ehttps://localhost:445/webapi
.Seleziona Avanti per continuare a esplorare le impostazioni.
Seleziona Fine per chiudere le impostazioni di sistema e riavviare AlteryxService.
Dopo aver attivato SSL nelle Impostazioni di sistema di Server, gli utenti che accedono a Server visualizzeranno HTTPS e un'icona a forma di nota musicale prima dell'URL nel browser. Questo simbolo indica che la connessione è protetta con una chiave di sessione univoca e che le comunicazioni sono sicure.
Sostituzione di un certificato TLS/SSL esistente
Per sostituire o aggiornare un certificato scaduto o in scadenza, attieniti alla procedura di seguito:
Installa il nuovo certificato seguendo la procedura descritta nel passaggio 1 . Installa un certificato TLS/SSL in Windows .
Arresta AlteryxService .
Seleziona il pulsante Start di Windows.
Immetti
netsh
in Cerca , quindi seleziona Invio .Modifica il comando di esempio. Comando di esempio
http delete sslcert ipport=0.0.0.0:443
Modifica il valore ipport se hai utilizzato una porta diversa da quella predefinita (443).
Incolla il comando risultante nella console netsh e seleziona Invio per rimuovere il certificato associato alla porta indicata.
Verifica che l'associazione sia stata rimossa eseguendo questo comando nella console netsh.
http show sslcert
Richiedi l'identificazione personale del nuovo certificato seguendo la procedura descritta nel passaggio 2 . Richiedi l'identificazione personale dei certificati TLS/SSL .
Associa il certificato a una determinata porta utilizzando la procedura descritta nel passaggio 3 . Configura una porta per l'utilizzo del certificato TLS/SSL .
Avvia AlteryxService .