Skip to main content

Configurar SSL/TLS no Server

O Server é compatível com criptografia TLS (Transport Layer Security) e SSL (Secure Socket Layer) para HTTPS, o que garante uma comunicação segura e protegida entre o Designer e o Server, bem como qualquer comunicação entre o navegador da Web de um usuário e a IU do Server da sua empresa.

Nota

Server-FIPS

O AlteryxService agora é compatível com TLS para comunicação interna e direta da camada de serviço. Para o Server-FIPS, TLS está habilitado para todos os serviços e não pode ser desabilitado. Devido a essa alteração, é necessário instalar um certificado X.509 (TLS) nos nós da IU do Server e do controlador. Isso permite que a comunicação entre nós funcione com TLS. Recomendamos a instalação de certificados em todas as máquinas que hospedam o Server, independentemente de sua configuração.

Importante

  • Recomendamos que os administradores de rede de TI sejam envolvidos na configuração de TLS/SSL. A configuração de TLS/SSL requer experiência na criação, distribuição e certificação de arquivos TLS/SSL por meio de uma Autoridade de Certificação (CA).

  • Use uma CA reconhecida para assinar seus certificados TLS/SSL.

  • Recomendamos usar um certificado TLS (SSL).

  • Certificados autoassinados não são recomendados para implantações de produção.

Antes de habilitar SSL em sua máquina, obtenha um certificado TLS/SSL para a IU do Alteryx Server da sua empresa de uma Autoridade de Certificação (CA) confiável. A Entidade ou o Nome alternativo da entidade que você especifica para o certificado deve corresponder ao endereço que deseja usar para o domínio do site do Server (o endereço no campo Base Address na tela Server UI Configuration das Configurações do sistema ). Vá para a página de ajuda IU do Server para obter mais informações sobre como as configurações de endereço base .

Depois de obter um certificado TLS/SSL, você precisa configurar o Alteryx Server para usar esse certificado quando os usuários visitarem seu site. Para isso, a impressão digital do certificado precisa estar associada a uma porta específica no computador.

Etapa 1. Instalar um certificado TLS/SSL no Windows

Depois de receber o certificado assinado da CA, ele precisa ser instalado no Windows. Para instalar o certificado:

  1. Selecione o botão Iniciar  do Windows.

  2. Digite mmc em Pesquisar e pressione Enter .

  3. No Console de Gerenciamento Microsoft (MMC) , selecione Adicionar/remover snap-in no menu Arquivo .

  4. Na caixa de diálogo Adicionar ou Remover Snap-ins , selecione Certificados e clique em Adicionar .

  5. Na caixa de diálogo Adicionar snap-in autônomo , selecione Certificados e clique em Adicionar .

  6. Na caixa de diálogo Snap-in de certificados , selecione Conta de computador e clique em Avançar .

  7. Na caixa de diálogo Selecionar computador , deixe a opção padrão Computador local selecionada e clique em Concluir .

  8. Na caixa de diálogo Adicionar snap-in autônomo , selecione Fechar .

  9. Na caixa de diálogo Adicionar/remover snap-in , selecione OK .

  10. Expanda Certificados Pessoal .

  11. Clique com o botão direito do mouse em Certificados dentro da pasta Pessoal , selecione Todas as tarefas e, em seguida, Importar .

  12. Clique em Avançar no Assistente para importação de certificados .

  13. Selecione Procurar na caixa de diálogo Arquivo a Ser Importado , navegue até o arquivo fornecido pela CA e clique em Avançar .

  14. Se o certificado incluir a chave privada, digite a senha quando solicitado.

  15. Marque Marcar esta chave como exportável e clique em Avançar .

  16. Selecione Colocar todos os certificados no repositório a seguir , navegue até Pessoal e clique em Avançar .

  17. Clique em Concluir na caixa de diálogo Concluindo o Assistente para Importação de Certificados para importar o certificado para o repositório de certificados pessoais do Windows.

Etapa 2. Obter a impressão digital de certificados TLS/SSL

Obtenha a impressão digital do certificado:

  1. Selecione o botão Iniciar  do Windows.

  2. Digite mmc em Pesquisar e pressione Enter .

  3. No Console de Gerenciamento Microsoft (MMC) , selecione Adicionar/remover snap-in no menu Arquivo .

  4. Na caixa de diálogo Adicionar ou Remover Snap-ins , selecione Certificados e clique em Adicionar .

  5. Na caixa de diálogo Adicionar snap-in autônomo , selecione Certificados e clique em Adicionar .

  6. Na caixa de diálogo Snap-in de certificados , selecione Conta de computador e clique em Avançar .

  7. Na caixa de diálogo Selecionar computador , deixe a opção padrão Computador local selecionada e clique em Concluir .

  8. Na caixa de diálogo Adicionar snap-in autônomo , selecione Fechar .

  9. Na caixa de diálogo Adicionar/remover snap-in , selecione OK .

  10. Expanda Certificados Pessoal .

  11. Clique com o botão direito do mouse no certificado importado na Etapa 1 . Instalar um Certificado TLS/SSL no Windows e clique em Abrir .

  12. Selecione a guia Detalhes .

  13. Role pela lista e realce Impressão digital .

  14. O valor exibido na caixa na parte inferior é a impressão digital do certificado. Copie e cole o valor em um editor de texto para remover todos os espaços. Use esse valor ao configurar a porta.

Etapa 3. Configurar uma porta para usar o certificado TLS/SSL

Para associar a impressão digital do certificado a uma porta específica:

  1. Selecione o botão Iniciar  do Windows.

  2. Digite netsh em Pesquisar e pressione Enter .

  3. Edite o comando de exemplo. Comando de exemplo

    http add sslcert ipport=0.0.0.0:443 certhash=0000000000003ed9cd0c315bbb6dc1c08da5e6 appid={eea9431a-a3d4-4c9b-9f9a-b83916c11c67}

    1. Substitua o valor de certhash pelo valor da impressão digital do certificado sem os espaços.

    2. Modifique o valor de ipport se quiser usar uma porta diferente da padrão (443).

    3. Deixe o appid como está, pois este é o ID de aplicativo para o Server.

  4. Cole o comando resultante no console netsh e pressione Enter para associar o certificado à porta fornecida.

  5. Verifique a associação e a instalação bem-sucedida do certificado executando este comando no console netsh.

    http show sslcert .

Todas as associações de certificados SSL e suas respectivas portas serão listadas.

Etapa 4. Configurar o Server para TLS/SSL

Depois que o certificado é associado a uma porta, a configuração do Server precisa ser alterada para aceitar solicitações da web via HTTPS em vez de HTTP. Se você associou o certificado a uma porta diferente do padrão (443), o Alteryx Server precisa ser configurado para utilizá-la.

  1. Clique duas vezes no ícone Configurações de sistema do Alteryx na sua área de trabalho.

  2. Clique em Next em cada tela das Configurações do sistema para navegar até as telas  Server UI .

  3. Verifique se o Base Address e o Web API Address correspondem à Entidade ou a um Nome alternativo da entidade protegido pelo certificado TLS/SSL.

  4. Na tela Server UI > General , selecione  Enable Server UI SSL/TLS  (habilitar SSL/TLS da IU do Server). Marcar esta opção altera o URL nos campos Base Address e Web API Address para HTTPS.

  5. Se você habilitar SSL e seu certificado for definido para uma porta diferente do padrão 443, especifique a porta nos campos Base Address e Web API Address . Por exemplo, https://localhost:445/gallery/ e https://localhost:445/webapi .

  6. Selecione Next para continuar navegando pelas configurações.

  7. Selecione Finish para fechar as Configurações do sistema e reiniciar o AlteryxService.

Depois de habilitar o SSL nas Configurações do sistema do Server, os usuários que acessarem o Server verão "HTTPS" e um ícone de ajuste será exibido antes do URL no navegador. Isso significa que uma conexão segura foi estabelecida com uma chave de sessão exclusiva e as comunicações são seguras.

Substituir um certificado TLS/SSL existente

Para substituir ou atualizar um certificado que expirou ou que expirará em breve, siga estas etapas:

  1. Instale o novo certificado utilizando os passos detalhados na Etapa 1 . Instalar um certificado TLS/SSL no Windows .

  2. Pare o AlteryxService .

  3. Selecione o botão Iniciar  do Windows.

  4. Digite netsh em Pesquisar e pressione Enter .

  5. Edite o comando de exemplo. Comando de exemplo

    http delete sslcert ipport=0.0.0.0:443

    • Modifique o valor de ipport se você usou uma porta diferente da padrão (443).

  6. Cole o comando resultante no console netsh e pressione Enter para remover a vinculação do certificado com a porta fornecida.

  7. Verifique se a associação foi removida executando este comando no console netsh.

    http show sslcert

  8. Obtenha a impressão digital dos novos certificados utilizando os passos detalhados na Etapa 2 . Obter a impressão digital de certificados TLS/SSL .

  9. Associe o certificado a uma determinada porta utilizando os passos detalhados na Etapa 3 . Configurar uma porta para usar o certificado TLS/SSL .

  10. Inicie o AlteryxService .