Configurar SSL/TLS para Server
Alteryx Server admite el cifrado SSL (Secure Socket Layer) y TLS (Transport Layer Security) para HTTPS a fin de garantizar una comunicación segura y protegida entre Alteryx Designer y Alteryx Server, así como la comunicación entre el navegador web de un usuario y la interfaz de usuario de Alteryx Server de tu empresa.
Nota
Server-FIPS
AlteryxService ahora admite TLS para la comunicación interna y directa de la capa de servicio. En el caso de Server-FIPS, TLS está habilitado para todos los servicios y no se puede deshabilitar. Debido a este cambio, debes instalar un certificado X.509 (TLS) en los nodos de interfaz de usuario de Server y de controlador. Esto permite la comunicación entre nodos para trabajar con TLS. Se recomienda instalar certificados en todos los equipos que alojan Server, independientemente de su configuración.
Importante
Se recomienda que administradores de redes de TI configuren TLS/SSL. La configuración de TLS/SSL requiere experiencia en la creación, distribución y certificación de archivos TLS/SSL a través de una autoridad de certificación (CA).
Utiliza una CA reconocida para firmar los certificados TLS/SSL.
Se recomienda utilizar un certificado TLS (SSL).
Los certificados autofirmados no son recomendables para implementaciones de producción.
Antes de habilitar SSL en tu equipo, obtén un certificado TLS/SSL para la interfaz de usuario de Alteryx Server de tu empresa de una autoridad de certificación (CA) de confianza. El Subject o el Subject Alternative Name que especifiques para el certificado debe coincidir con la dirección que deseas utilizar para el dominio del sitio web de Server (la dirección base identificada en Base Address en la configuración del sistema en la pantalla Server UI Configuration ). Ve a la página de ayuda Interfaz de usuario de Server para obtener más información sobre cómo configurar la dirección base .
Después de obtener un certificado TLS/SSL, debes configurar Alteryx Server para que lo utilice cuando los usuarios visiten el sitio. Para ello, la huella digital del certificado debe estar asociada a un puerto específico del equipo.
Paso 1. Instalar un certificado TLS/SSL en Windows
Una vez que hayas recibido el certificado firmado de la CA, debes instalarlo en Windows. Para instalar el certificado:
Selecciona el botón Inicio de Windows.
Ingresa en el cuadro de búsqueda y presiona la tecla Intro .
En Microsoft Management Console (MMC) , selecciona Agregar o quitar complemento en el menú Archivo .
En el cuadro de diálogo Agregar o quitar complemento , selecciona Certificados y, luego, Agregar .
En el cuadro de diálogo Agregar un complemento independiente , selecciona Certificados y, luego, Agregar .
En el cuadro de diálogo Complemento Certificados , selecciona Cuenta de equipo y, luego, Siguiente .
En el cuadro de diálogo Seleccionar equipo , deja la opción predeterminada Equipo local y selecciona Finalizar .
En el cuadro de diálogo Agregar un complemento independiente , selecciona Cerrar .
En el cuadro de diálogo Agregar o quitar complemento , selecciona Aceptar .
Expande Certificados > Personal .
Haz clic con el botón derecho en Certificados en Personal , selecciona Todas las tareas y, a continuación, Importar .
Selecciona Siguiente en Asistente para importar certificados .
Selecciona Examinar en el cuadro de diálogo Archivo para importar , busca el archivo proporcionado por la CA y, a continuación, selecciona Siguiente .
Si el certificado incluye la clave privada, ingresa la contraseña cuando se te solicite.
Marca la opción Marcar esta clave como exportable y selecciona Siguiente .
Selecciona Colocar todos los certificados en el siguiente almacén , ve a Personal y selecciona Siguiente .
Selecciona Finalizar en el cuadro de diálogo Completar el asistente de importación de certificados para importar el certificado al almacén de certificados personales de Windows.
Paso 2. Obtener la huella digital de los certificados TLS/SSL
Para obtener la huella digital del certificado:
Selecciona el botón Inicio de Windows.
Ingresa en el cuadro de búsqueda y presiona la tecla Intro .
En Microsoft Management Console (MMC) , selecciona Agregar o quitar complemento en el menú Archivo .
En el cuadro de diálogo Agregar o quitar complemento , selecciona Certificados y, luego, Agregar .
En el cuadro de diálogo Agregar un complemento independiente , selecciona Certificados y, luego, Agregar .
En el cuadro de diálogo Complemento Certificados , selecciona Cuenta de equipo y, luego, Siguiente .
En el cuadro de diálogo Seleccionar equipo , deja la opción predeterminada Equipo local y selecciona Finalizar .
En el cuadro de diálogo Agregar un complemento independiente , selecciona Cerrar .
En el cuadro de diálogo Agregar o quitar complemento , selecciona Aceptar .
Expande Certificados > Personal .
Haz clic con el botón derecho en el certificado importado en el Paso 1 . Instalar un certificado TLS/SSL en Windows , y selecciona Abrir .
Selecciona la pestaña Detalles .
Desplázate por la lista y resalta Huella digital .
El valor que aparece en el cuadro de la parte inferior es la huella digital del certificado. Copia y pega el valor en un editor de texto para eliminar todos los espacios. Utiliza este valor cuando configures el puerto.
Paso 3. Configurar un puerto para utilizar el certificado TLS/SSL
Para asociar la huella digital del certificado a un puerto específico:
Selecciona el botón Inicio de Windows.
Ingresa en el cuadro de búsqueda y presiona la tecla Intro .
Edita el comando de ejemplo. Comando de ejemplo
http add sslcert ipport=0,0.0,0:443 certhash=0000000000003ed9cd0c315bbb6dc1c08da5e6 appid={eea9431a-a3d4-4c9b-9f9a-b83916c11c67}
Reemplaza el valor de por el valor de la huella digital del certificado sin los espacios.
Modifica el valor de si deseas utilizar un puerto que no sea el predeterminado (443).
Deja el valor de como está, ya que es el Id. de aplicación de Server.
Pega el comando resultante en la consola de netsh y presiona Intro para asociar el certificado con el puerto determinado.
Para verificar la asociación y la instalación correctas del certificado, ejecuta el siguiente comando en la consola de netsh:
http show sslcert
.
Aparecerán todas las asociaciones de certificados SSL y los puertos respectivos.
Paso 4. Configurar Server para TLS/SSL
Después de asociar el certificado a un puerto, hay que cambiar la configuración de Alteryx Server para que acepte las solicitudes web a través de HTTPS, en lugar de HTTP. Si asociaste el certificado a un puerto distinto del predeterminado (443), Alteryx Server se debe configurar para utilizar ese puerto.
Haz doble clic en el ícono de la configuración del sistema Alteryx System Settings en el escritorio.
Selecciona Siguiente en cada pantalla de la configuración del sistema de Alteryx para acceder a las pantallas de Gallery .
Verifica que la dirección base en Base Address coincida con el Subject o el Subject Alternative Name protegido por el certificado TLS/SSL.
En la pantalla General de Interfaz de usuario de Server, seleccione Activar SSL/TLS de Interfaz de usuario de Server . Al activar esta opción, la dirección URL del campo Base Address cambia a HTTPS.
Si activas SSL y el certificado está configurado en un puerto distinto del puerto 443 predeterminado, especifica el puerto en Base Address . Por ejemplo,
https://localhost:445/gallery/
yhttps://localhost:445/webapi
.Selecciona Next para continuar navegando por los ajustes.
Selecciona Finish para cerrar la configuración del sistema y reiniciar AlteryxService.
Una vez que hayas activado SSL en la configuración del sistema de Server, los usuarios que vayan a Server verán HTTPS y se mostrará un ícono de nota musical antes de la URL en el navegador. Esto significa que se establece una conexión segura con una clave de sesión única y que las comunicaciones son seguras.
Reemplazar un certificado TLS/SSL existente
Para reemplazar o actualizar un certificado caducado o que caducará pronto, sigue estos pasos:
Instala el nuevo certificado siguiendo los pasos detallados en el Paso 1 . Instalar un certificado TLS/SSL en Windows .
Detén el servicio AlteryxService .
Selecciona el botón Inicio de Windows.
Ingresa en el cuadro de búsqueda y presiona la tecla Intro .
Edita el comando de ejemplo. Comando de ejemplo
http delete sslcert ipport=0,0.0,0:443
Modifica el valor de ipport si utilizas un puerto distinto del predeterminado (443).
Pega el comando resultante en la consola de netsh y presiona la tecla Intro para eliminar la vinculación del certificado con el puerto determinado.
Para comprobar la eliminación de la asociación, ejecuta este comando en la consola de netsh.
http show sslcert
Obtén la huella digital de los nuevos certificados siguiendo los pasos detallados en el Paso 2. Obtener la huella digital de los certificados TLS/SSL .
Asocia el certificado a un puerto determinado siguiendo los pasos detallados en el Paso 3. Configurar un puerto para utilizar el certificado TLS/SSL .
Inicia el servicio AlteryxService .