Skip to main content

配置 Server SSL/TLS

Server 支持通过 HTTPS 进行 TLS(传输层安全)和 SSL(安全套接字层)加密,确保 Designer 和 Server 之间的通信,以及用户的 Web 浏览器和您公司的 Alteryx Server UI 之间的所有通信安全有保障。

注意

Server-FIPS

AlteryxService 现在支持使用 TLS 来进行内部和直接服务层通信。对于 Server-FIPS,已为所有服务启用了 TLS,而且无法禁用。由于此变化,您必须在控制器和 Server UI 节点上安装 X.509 (TLS) 证书。这使得 TLS 可以用于节点之间的通信。我们建议在托管 Server 的所有计算机上安装证书,无论其配置如何。

重要

  • 我们建议让 IT 网络管理员参与配置 TLS/SSL。TLS/SSL 配置需要操作人具有通过证书颁发机构 (CA) 创建、分发和验证 TLS/SSL 文件的专业知识。

  • 使用公认的 CA 给 TLS/SSL 证书签名。

  • 我们建议您使用 TLS (SSL) 证书。

  • 不建议在生产部署中使用自签名证书。

在您的计算机上启用 SSL 之前,请从受信任的证书颁发机构 (CA) 为您公司的 Alteryx Server UI 获取 TLS/SSL 证书。您为证书指定的 Subject Subject Alternative Name 必须与您要用于 Server 网站网域的地址( 系统设置 Server UI Configuration 屏幕上的 Base Address )匹配。如需详细了解如何设置 基址 ,请前往 Server UI 帮助页面。

获取 TLS/SSL 证书后,您需要将 Alteryx Server 配置为在用户访问您的网站时使用该证书。为此,证书指纹必须与计算机上的特定端口相关联。

第 1 步:在 Windows 中安装 TLS/SSL 证书

收到 CA 颁发的签名证书后,需要将其安装在 Windows 中。安装证书:

  1. 单击 Windows 开始 按钮。

  2. 搜索 中输入 mmc ,然后按 Enter 键。

  3. Microsoft 管理控制台 (MMC) 中,从 文件 菜单中选择 添加/删除管理单元

  4. 添加/删除管理单元 对话框中,单击 证书 ,然后单击 添加

  5. 添加独立管理单元 对话框中,单击 证书 ,然后单击 添加

  6. 证书管理单元 对话框中,单击 计算机帐户 ,然后单击 下一步

  7. 选择计算机 对话框中,让默认 本地计算机 保持选中状态,然后单击 完成

  8. 添加独立管理单元 对话框中,单击 关闭

  9. 添加/删除管理单元 对话框中,单击 确定

  10. 展开 证书 > 我的用户帐户

  11. 右键单击 证书 ,在 我的用户帐户 下,选择 所有任务 ,然后单击 导入

  12. 证书导入向导 上单击 下一页

  13. 要导入的文件 对话框上单击 浏览 ,并浏览到证书授权机构提供的文件,然后单击 下一页

  14. 如果证书包含私钥,则在出现提示时输入密码。

  15. 选中 将此密钥标记为可导出 ,然后单击 下一页

  16. 单击 将所有的证书都放入下列存储区 ,浏览到 我的用户帐户 ,然后单击 下一页

  17. 完成证书导入向导 对话框上单击 完成 ,将证书导入 Windows 个人证书存储。

第 2 步:获取 TLS/SSL 证书指纹

获取证书的指纹:

  1. 单击 Windows 开始 按钮。

  2. 搜索 中输入 mmc ,然后按 Enter 键。

  3. Microsoft 管理控制台 (MMC) 中,从 文件 菜单中选择 添加/删除管理单元

  4. 添加/删除管理单元 对话框中,单击 证书 ,然后单击 添加

  5. 添加独立管理单元 对话框中,单击 证书 ,然后单击 添加

  6. 证书管理单元 对话框中,单击 计算机帐户 ,然后单击 下一页

  7. 选择计算机 对话框中,让默认 本地计算机 保持选中状态,然后单击 完成

  8. 添加独立管理单元 对话框中,单击 关闭

  9. 添加/删除管理单元 对话框中,单击 确定

  10. 展开 证书 > 我的用户帐户

  11. 右键单击 第 1 步:在 Windows 中安装 TLS/SSL 证书 ,然后单击 打开

  12. 单击 详情 选项卡。

  13. 滚动浏览列表并突出显示 指纹

  14. 底部框中显示的值是证书的指纹。将该值复制并粘贴到文本编辑器中以删除所有空格。配置端口时使用此值。

第 3 步:将端口配置为使用 TLS/SSL 证书

将证书指纹与特定端口相关联:

  1. 单击 Windows 开始 按钮。

  2. 搜索 中输入 netsh ,然后按 Enter 键。

  3. 编辑示例命令。 示例命令

    http add sslcert ipport=0.0.0.0:443 certhash=0000000000003ed9cd0c315bbb6dc1c08da5e6 appid={eea9431a-a3d4-4c9b-9f9a-b83916c11c67}

    1. certhash 值替换为不带空格的证书指纹值。

    2. 如果要使用默认端口 (443) 以外的端口,请修改 ipport 值。

    3. 保持 appid 不变,因为它是 Server 的应用程序 ID。

  4. 将生成的命令粘贴到 netsh 控制台,然后按 Enter 键,将证书与给定端口关联。

  5. 在 netsh 控制台中运行此命令,以验证证书关联和成功安装。

    http show sslcert .

系统会列出所有 SSL 证书关联及其相应的端口。

第 4 步:配置 Server TLS/SSL

在证书与端口相关联后,必须更改 Server 配置以接受通过 HTTPS 而不是 HTTP 传递的 Web 请求。如果您将证书与默认端口 (443) 以外的端口相关联,则必须将 Alteryx Server 配置为使用该端口。

  1. 双击桌面上的 系统设置 图标。

  2. Alteryx 系统设置 中的每个屏幕上单击 Next ,以导航到 Server UI 屏幕。

  3. 验证 Base Address Web API Address 是否与 Subject 或者受 TLS/SSL 证书保护的 Subject Alternative Name 相匹配。 

  4. Server UI General 屏幕上,选择 Enable Server UI SSL/TLS 。启用此选项会将 Base Address Web API Address 字段中的 URL 变成 HTTPS。

  5. 如果启用 SSL 且证书设置为默认端口 443 以外的端口,请在 Base Address Web API Address 中指定该端口。例如, https://localhost:445/gallery/ https://localhost:445/webapi

  6. 单击 Next 继续在设置中导航。

  7. 单击 Finish 以关闭 系统设置 并重新启动 AlteryxService。

在有关 Server 的 系统设置 中启用 SSL 后,访问 Server 的用户将会看到 HTTPS,并且在其浏览器中 URL 前会显示一个调试图标。这意味着使用唯一的会话密钥建立安全连接,并且通信是安全的。

替换现有 TLS/SSL 证书

要替换或更新已过期或即将过期的证书,请执行以下步骤:

  1. 使用 第 1 步:在 Windows 中安装 TLS/SSL 证书 中详述的步骤安装新证书。

  2. 停止 AlteryxService

  3. 单击 Windows 的 开始 按钮。

  4. 搜索 中输入 netsh ,然后按 Enter 键。

  5. 编辑示例命令。 示例命令

    http delete sslcert ipport=0.0.0.0:443

    • 如果您使用默认端口 (443) 以外的端口,请修改 ipport 值。

  6. 将生成的命令粘贴到 netsh 控制台中,然后按 Enter 键以移除证书与给定端口的绑定。

  7. 在 netsh 控制台中运行此命令,验证关联是否已移除。

    http show sslcert

  8. 使用 第 2 步:获取 TLS/SSL 证书指纹

  9. 使用 第 3 步 详述的步骤将证书与给定端口关联。 配置使用 TLS/SSL 证书的端口

  10. 启动 AlteryxService