SSL/TLS für Server konfigurieren
Alteryx Server unterstützt sowohl TLS (Transport Layer Security)- als auch SSL (Secure Socket Layer)-Verschlüsselung für HTTPS, um eine sichere Kommunikation zwischen Alteryx Designer und Alteryx Server sowie sämtliche Kommunikation zwischen dem Webbrowser eines Benutzers und der Alteryx Server-Benutzeroberfläche Ihres Unternehmens zu gewährleisten.
Anmerkung
Server-FIPS
AlteryxService unterstützt jetzt TLS für die interne und direkte Kommunikation auf Dienstebene. Bei Server-FIPS ist TLS für alle Dienste aktiviert und kann nicht deaktiviert werden. Aufgrund dieser Änderung müssen Sie ein X.509 (TLS)-Zertifikat auf die Knoten des Controllers und der Server-Benutzeroberfläche installieren. Dies ermöglicht die Kommunikation zwischen Knoten mit TLS. Wir empfehlen unabhängig von ihrer Konfiguration die Installation von Zertifikaten auf allen Rechnern, die Server hosten.
Wichtig
Wir empfehlen, die TLS-/SSL-Konfiguration von IT-Netzwerkadministratoren durchführen zu lassen. Für die TLS-/SSL-Konfiguration ist das Erstellen, Verteilen und Zertifizieren von TLS-/SSL-Dateien über eine Zertifizierungsstelle (Certificate Authority, CA) erforderlich.
Verwenden Sie eine anerkannte Zertifizierungsstelle, um Ihre TLS-/SSL-Zertifikate zu signieren.
Wir empfehlen die Verwendung eines TLS (SSL)-Zertifikats.
Von selbstsignierten Zertifikaten für die Produktionsimplementierung wird abgeraten.
Bevor Sie SSL auf dem Rechner aktivieren, benötigen Sie von einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) ein gültiges SSL-/TLS-Zertifikat für die Alteryx Server-Benutzeroberfläche Ihres Unternehmens. Der Betreff- oder Alternativer Betreffname , den Sie für das Zertifikat angeben, muss mit der Adresse übereinstimmen, die Sie für die Server-Websitedomäne verwenden möchten (die Base Address in den System Settings (Systemeinstellungen) auf dem Bildschirm Server UI Configuration ) Weitere Informationen zum Festlegen der Basisadresse finden Sie auf der Hilfeseite Server-Benutzeroberfläche .
Nach Erhalt des TLS-/SSL-Zertifikats müssen Sie Alteryx Server so konfigurieren, dass dieses Zertifikat verwendet wird, wenn Benutzer Ihre Seite besuchen. Hierzu muss der Zertifikatfingerabdruck mit einem spezifischen Port auf dem Rechner verknüpft werden.
1. Schritt: TLS-/SSL-Zertifikat unter Windows installieren
Sobald Sie das signierte Zertifikat von der Zertifizierungsstelle erhalten haben, muss es unter Windows installiert werden. So installieren Sie das Zertifikat:
Wählen Sie im Windows-Menü die Schaltfläche Start aus.
Geben Sie
mmc
in die Suche ein und drücken Sie dann die Eingabetaste .Wählen Sie in der Microsoft Management Console (MMC) aus dem Menü Datei die Option Snap‑In hinzufügen/entfernen aus.
Wählen Sie im Dialogfeld Snap‑In hinzufügen/entfernen die Zertifikate -Option und dann Hinzufügen aus.
Wählen Sie im Dialogfeld Eigenständiges Snap‑In hinzufügen die Zertifikate -Option und dann Hinzufügen aus.
Wählen Sie im Dialogfeld Zertifikat-Snap‑In die Option Computerkonto und dann Weiter aus.
Behalten Sie im Dialogfeld Computer auswählen die Standardauswahl Lokaler Computer bei und wählen Sie Fertig stellen aus.
Wählen Sie im Dialogfeld Eigenständiges Snap‑In hinzufügen die Option Schließen aus.
Wählen Sie im Dialogfeld Snap‑In hinzufügen/entfernen die Option OK aus.
Erweitern Sie die Einträge Zertifikate > Persönlich .
Klicken Sie unter Persönlich mit der rechten Maustaste auf Zertifikate , wählen Sie Alle Aufgaben und dann Importieren aus.
Wählen Sie im Zertifikatimport-Assistent die Option Weiter aus.
Wählen Sie im Dialogfeld Zu importierende Datei die Option Durchsuchen aus, navigieren Sie zu der von Ihrer Zertifizierungsstelle bereitgestellten Datei und wählen Sie dann Weiter aus.
Wenn das Zertifikat den privaten Schlüssel enthält, geben Sie nach Aufforderung das Kennwort ein.
Aktivieren Sie das Kontrollkästchen Schlüssel als exportierbar markieren und wählen Sie Weiter aus.
Wählen Sie Alle Zertifikate in folgendem Speicher speichern aus, navigieren Sie zu Persönlich und wählen Sie Weiter aus.
Wählen Sie im Dialogfeld Fertigstellen des Assistenten Fertig stellen aus, um das Zertifikat in den Zertifikatspeicher von Windows Personal zu importieren.
2. Schritt: TLS-/SSL-Zertifikatfingerabdruck abrufen
So rufen Sie den Fingerabdruck des Zertifikats ab:
Wählen Sie im Windows-Menü die Schaltfläche Start aus.
Geben Sie
mmc
in die Suche ein und drücken Sie dann die Eingabetaste .Wählen Sie in der Microsoft Management Console (MMC) aus dem Menü Datei die Option Snap‑In hinzufügen/entfernen aus.
Wählen Sie im Dialogfeld Snap‑In hinzufügen/entfernen die Zertifikate -Option und dann Hinzufügen aus.
Wählen Sie im Dialogfeld Eigenständiges Snap‑In hinzufügen die Zertifikate -Option und dann Hinzufügen aus.
Wählen Sie im Dialogfeld Zertifikat-Snap‑In die Option Computerkonto und dann Weiter aus.
Behalten Sie im Dialogfeld Computer auswählen die Standardauswahl Lokaler Computer bei und wählen Sie Fertig stellen aus.
Wählen Sie im Dialogfeld Eigenständiges Snap‑In hinzufügen die Option Schließen aus.
Wählen Sie im Dialogfeld Snap‑In hinzufügen/entfernen die Option OK aus.
Erweitern Sie die Einträge Zertifikate > Persönlich .
Klicken Sie mit der rechten Maustaste auf das importierte Zertifikat aus dem 1. Schritt: SSL-/TLS-Zertifikat unter Windows installieren und wählen Sie Öffnen aus.
Wählen Sie die Registerkarte Details aus.
Blättern Sie in der Liste und markieren Sie den Eintrag Fingerabdruck .
Der im Feld unten angezeigte Wert ist der Fingerabdruck des Zertifikats. Kopieren Sie den Wert und fügen Sie diesen in einen Text-Editor ein, um alle Leerzeichen zu entfernen. Verwenden Sie diesen Wert beim Konfigurieren des Ports.
3. Schritt: Port für die Verwendung des SSL-/TLS-Zertifikats konfigurieren
So verknüpfen Sie den Zertifikatfingerabdruck mit einem bestimmten Port:
Wählen Sie im Windows-Menü die Schaltfläche Start aus.
Geben Sie
netsh
in die Suche ein und drücken Sie dann die Eingabetaste .Bearbeiten Sie den Beispielbefehl. Beispielbefehl:
http add sslcert ipport=0.0.0.0:443 certhash=0000000000003ed9cd0c315bbb6dc1c08da5e6 appid={eea9431a-a3d4-4c9b-9f9a-b83916c11c67}
Ersetzen Sie den Wert für
certhash
mit dem Wert des Zertifikatfingerabdrucks ohne Leerzeichen.Ändern Sie den Wert
ipport
, wenn nicht der Standardport (443) verwendet werden soll.Behalten Sie den Wert
appid
bei, da dies die Anwendungs-ID für den Server ist.
Fügen Sie den daraus resultierenden Befehl in die Netsh-Konsole ein und drücken Sie die Eingabetaste , um das Zertifikat mit dem jeweiligen Port zu verknüpfen.
Überprüfen Sie die Verknüpfung und die erfolgreiche Installation des Zertifikats, indem Sie diesen Befehl in der Netsh-Konsole ausführen:
http show sslcert
.
Es werden alle SSL-Zertifikatverknüpfungen und die jeweiligen Ports aufgelistet.
4. Schritt: Server für TLS/SSL konfigurieren
Nachdem das Zertifikat mit einem Port verknüpft wurde, muss die Server-Konfiguration so geändert werden, dass Webanfragen über HTTPS anstelle von HTTP akzeptiert werden. Wenn Sie das Zertifikat mit einem anderen Port als dem Standardport (443) verknüpft haben, muss Alteryx Server für die Verwendung dieses Ports konfiguriert werden.
Doppelklicken Sie auf dem Desktop auf das Symbol für die Systemeinstellungen .
Wählen Sie Next auf jedem Bildschirm der Alteryx System Settings aus, um zu den Server UI Bildschirmen zu navigieren.
Überprüfen Sie, ob die Base Address und die Web API Address mit dem Antragsteller- oder dem Alternativen Antragstellernamen übereinstimmen, der durch das SSL-/TLS-Zertifikat geschützt ist.
Wählen Sie auf dem Bildschirm Server UI General die Option Enable Server UI SSL/TLS aus. Wenn Sie diese Option aktivieren, wird die URL in den Feldern Base Address und Web API Address in HTTPS geändert.
Wenn SSL aktiviert ist und Ihr Zertifikat nicht den Standardport 443 verwendet, geben Sie auch den Port in den Feldern Base Address und Web API Address an. Zum Beispiel
https://localhost:445/gallery/
undhttps://localhost:445/webapi
.Wählen Sie Next aus, um weiter durch die Einstellungen zu navigieren.
Wählen Sie Finish aus, um die System Settings zu schließen und starten Sie den AlteryxService erneut.
Nach Aktivierung von SSL in den Server- Systemeinstellungen wird Benutzern, die zu Server navigieren, HTTPS und das sog. Tune-Symbol vor der URL im Browser angezeigt. Dies bedeutet, dass eine sichere Verbindung mit einem eindeutigen Sitzungsschlüssel hergestellt wurde und die Kommunikation sicher ist.
Ein vorhandenes SSL-/TLS-Zertifikat ersetzen
Gehen Sie wie folgt vor, um ein abgelaufenes oder demnächst auslaufendes Zertifikat zu ersetzen oder zu aktualisieren:
Installieren Sie das neue Zertifikat. Die Anweisungen dazu finden Sie im 1. Schritt: SSL-/TLS-Zertifikat unter Windows installieren .
Beenden Sie den AlteryxService .
Wählen Sie im Windows-Menü die Schaltfläche Start aus.
Geben Sie
netsh
in die Suche ein und drücken Sie dann die Eingabetaste .Bearbeiten Sie den Beispielbefehl. Beispielbefehl:
http delete sslcert ipport=0.0.0.0:443
Ändern Sie den ipport-Wert, wenn Sie einen anderen Port als den Standardport (443) verwendet haben.
Fügen Sie den daraus resultierenden Befehl in die Netsh-Konsole ein und drücken Sie die Eingabetaste , um die Zertifikatbindung mit dem jeweiligen Port zu entfernen.
Überprüfen Sie, ob die Verknüpfung entfernt wurde, indem Sie diesen Befehl in der Netsh-Konsole ausführen:
http show sslcert
Rufen Sie den neuen Zertifikatfingerabdruck ab. Die Anweisungen dazu finden Sie im 2. Schritt: TLS-/SSL-Zertifikatfingerabdruck abrufen .
Verknüpfen Sie das Zertifikat mit einem spezifischen Port. Die Anweisungen dazu finden Sie im 3. Schritt: Port für die Verwendung des SSL-/TLS-Zertifikats konfigurieren .
Starten Sie den AlteryxService .