配置 Server SSL/TLS
Server 支持通过 HTTPS 进行 TLS(传输层安全)和 SSL(安全套接字层)加密,确保 Designer 和 Server 之间的通信,以及用户的 Web 浏览器和您公司的 Alteryx Server UI 之间的所有通信安全有保障。
注意
Server-FIPS
AlteryxService 现在支持使用 TLS 来进行内部和直接服务层通信。对于 Server-FIPS,已为所有服务启用了 TLS,而且无法禁用。由于此变化,您必须在控制器和 Server UI 节点上安装 X.509 (TLS) 证书。这使得 TLS 可以用于节点之间的通信。我们建议在托管 Server 的所有计算机上安装证书,无论其配置如何。
重要
我们建议让 IT 网络管理员参与配置 TLS/SSL。TLS/SSL 配置需要操作人具有通过证书颁发机构 (CA) 创建、分发和验证 TLS/SSL 文件的专业知识。
使用公认的 CA 给 TLS/SSL 证书签名。
我们建议您使用 TLS (SSL) 证书。
不建议在生产部署中使用自签名证书。
在您的计算机上启用 SSL 之前,请从受信任的证书颁发机构 (CA) 为您公司的 Alteryx Server UI 获取 TLS/SSL 证书。您为证书指定的 Subject 或 Subject Alternative Name 必须与您要用于 Server 网站网域的地址( 系统设置 中 Server UI Configuration 屏幕上的 Base Address )匹配。如需详细了解如何设置 基址 ,请前往 Server UI 帮助页面。
获取 TLS/SSL 证书后,您需要将 Alteryx Server 配置为在用户访问您的网站时使用该证书。为此,证书指纹必须与计算机上的特定端口相关联。
第 1 步:在 Windows 中安装 TLS/SSL 证书
收到 CA 颁发的签名证书后,需要将其安装在 Windows 中。安装证书:
单击 Windows 开始 按钮。
在 搜索 中输入
mmc
,然后按 Enter 键。在 Microsoft 管理控制台 (MMC) 中,从 文件 菜单中选择 添加/删除管理单元 。
在 添加/删除管理单元 对话框中,单击 证书 ,然后单击 添加 。
在 添加独立管理单元 对话框中,单击 证书 ,然后单击 添加 。
在 证书管理单元 对话框中,单击 计算机帐户 ,然后单击 下一步 。
在 选择计算机 对话框中,让默认 本地计算机 保持选中状态,然后单击 完成 。
在 添加独立管理单元 对话框中,单击 关闭 。
在 添加/删除管理单元 对话框中,单击 确定 。
展开 证书 > 我的用户帐户 。
右键单击 证书 ,在 我的用户帐户 下,选择 所有任务 ,然后单击 导入 。
在 证书导入向导 上单击 下一页 。
在 要导入的文件 对话框上单击 浏览 ,并浏览到证书授权机构提供的文件,然后单击 下一页 。
如果证书包含私钥,则在出现提示时输入密码。
选中 将此密钥标记为可导出 ,然后单击 下一页 。
单击 将所有的证书都放入下列存储区 ,浏览到 我的用户帐户 ,然后单击 下一页 。
在 完成证书导入向导 对话框上单击 完成 ,将证书导入 Windows 个人证书存储。
第 2 步:获取 TLS/SSL 证书指纹
获取证书的指纹:
单击 Windows 开始 按钮。
在 搜索 中输入
mmc
,然后按 Enter 键。在 Microsoft 管理控制台 (MMC) 中,从 文件 菜单中选择 添加/删除管理单元 。
在 添加/删除管理单元 对话框中,单击 证书 ,然后单击 添加 。
在 添加独立管理单元 对话框中,单击 证书 ,然后单击 添加 。
在 证书管理单元 对话框中,单击 计算机帐户 ,然后单击 下一页 。
在 选择计算机 对话框中,让默认 本地计算机 保持选中状态,然后单击 完成 。
在 添加独立管理单元 对话框中,单击 关闭 。
在 添加/删除管理单元 对话框中,单击 确定 。
展开 证书 > 我的用户帐户 。
右键单击 第 1 步:在 Windows 中安装 TLS/SSL 证书 ,然后单击 打开 。
单击 详情 选项卡。
滚动浏览列表并突出显示 指纹 。
底部框中显示的值是证书的指纹。将该值复制并粘贴到文本编辑器中以删除所有空格。配置端口时使用此值。
第 3 步:将端口配置为使用 TLS/SSL 证书
将证书指纹与特定端口相关联:
单击 Windows 开始 按钮。
在 搜索 中输入
netsh
,然后按 Enter 键。编辑示例命令。 示例命令
http add sslcert ipport=0.0.0.0:443 certhash=0000000000003ed9cd0c315bbb6dc1c08da5e6 appid={eea9431a-a3d4-4c9b-9f9a-b83916c11c67}
将
certhash
值替换为不带空格的证书指纹值。如果要使用默认端口 (443) 以外的端口,请修改
ipport
值。保持
appid
不变,因为它是 Server 的应用程序 ID。
将生成的命令粘贴到 netsh 控制台,然后按 Enter 键,将证书与给定端口关联。
在 netsh 控制台中运行此命令,以验证证书关联和成功安装。
http show sslcert
.
系统会列出所有 SSL 证书关联及其相应的端口。
第 4 步:配置 Server TLS/SSL
在证书与端口相关联后,必须更改 Server 配置以接受通过 HTTPS 而不是 HTTP 传递的 Web 请求。如果您将证书与默认端口 (443) 以外的端口相关联,则必须将 Alteryx Server 配置为使用该端口。
双击桌面上的 系统设置 图标。
在 Alteryx 系统设置 中的每个屏幕上单击 Next ,以导航到 Server UI 屏幕。
验证 Base Address 和 Web API Address 是否与 Subject 或者受 TLS/SSL 证书保护的 Subject Alternative Name 相匹配。
在 Server UI General 屏幕上,选择 Enable Server UI SSL/TLS 。启用此选项会将 Base Address 和 Web API Address 字段中的 URL 变成 HTTPS。
如果启用 SSL 且证书设置为默认端口 443 以外的端口,请在 Base Address 和 Web API Address 中指定该端口。例如,
https://localhost:445/gallery/
和https://localhost:445/webapi
单击 Next 继续在设置中导航。
单击 Finish 以关闭 系统设置 并重新启动 AlteryxService。
在有关 Server 的 系统设置 中启用 SSL 后,访问 Server 的用户将会看到 HTTPS,并且在其浏览器中 URL 前会显示一个调试图标。这意味着使用唯一的会话密钥建立安全连接,并且通信是安全的。
替换现有 TLS/SSL 证书
要替换或更新已过期或即将过期的证书,请执行以下步骤:
使用 第 1 步:在 Windows 中安装 TLS/SSL 证书 中详述的步骤安装新证书。
停止 AlteryxService 。
单击 Windows 的 开始 按钮。
在 搜索 中输入
netsh
,然后按 Enter 键。编辑示例命令。 示例命令
http delete sslcert ipport=0.0.0.0:443
如果您使用默认端口 (443) 以外的端口,请修改 ipport 值。
将生成的命令粘贴到 netsh 控制台中,然后按 Enter 键以移除证书与给定端口的绑定。
在 netsh 控制台中运行此命令,验证关联是否已移除。
http show sslcert
使用 第 3 步 详述的步骤将证书与给定端口关联。 配置使用 TLS/SSL 证书的端口
启动 AlteryxService 。