Recentemente, recebemos várias perguntas relacionadas a certificados SSL, como instalá-los e como configurar o Alteryx Server para utilizá-los. Embora o Guia de instalação e configuração do Alteryx Server aborde como habilitar SSL para o Alteryx Server, esse guia não trata de como obter um certificado nem de como instalá-lo para que possa ser utilizado pelo Server.
Existem várias ferramentas e métodos que você pode utilizar para obter um certificado SSL para usar com o Alteryx Server. Neste artigo, nos concentraremos em como utilizar o OpenSSL para criar uma Solicitação de assinatura de certificado (CSR) para enviar a uma Autoridade de certificação (CA), gerar um certificado autoassinado, instalar o certificado e configurar o Alteryx Server para usar o certificado.
Observação: se você não tiver o OpenSSL instalado em seu servidor, é possível baixar um binário pré-compilado do Win32 ou Win64 em https://slproweb.com/products/Win32OpenSSL.html. Lembre-se que o OpenSSL não é desenvolvido ou mantido pela Alteryx. Não temos nenhuma afiliação com o projeto OpenSSL ou com o fornecedor desse binário pré-compilado. Assim, fique à vontade para usar qualquer implementação do OpenSSL com a qual se sinta confortável.
Criar uma Solicitação de assinatura de certificado com o OpenSSL:
Para gerar uma CSR, abra um prompt de comando de administrador no seu servidor e navegue até o diretório que contém o OpenSSL.exe e o arquivo de configuração. De lá, execute o seguinte comando:
openssl.exe req -config openssl.cfg -out NomedoServidor.csr -new -newkey rsa:2048 -nodes -keyout NomedoServidor.key
Você será solicitado a responder algumas perguntas relacionadas à sua organização e ao servidor. Você pode utilizar a captura de tela abaixo para referência, mas lembre-se de que as respostas devem ser baseadas nas informações da sua organização e do seu servidor.
Esse comando criará dois arquivos no mesmo diretório com extensão .csr e .key. É preciso apresentar esses arquivos à sua CA para que seu certificado seja criado. Pode ser tanto uma CA interna quanto pública, como Verisign, GeoTrust, DigiCert, Entrust, StartCom etc. A CA fornecerá a você um certificado assinado como um arquivo .crt, .cer, .pem ou .pfx.
Criar um certificado autoassinado com o OpenSSL:
Você também pode utilizar o OpenSSL para gerar um certificado autoassinado. Embora isso não seja recomendado para ambientes de produção, existem diversas razões pelas quais se desejaria criar um. Entre elas, ambientes de desenvolvimento ou de laboratório e testes para confirmar a funcionalidade antes da compra de um certificado de uma CA pública. Independentemente da razão, é possível fazer isso com o seguinte procedimento:
Abra um prompt de comando de administrador e navegue até seu diretório do OpenSSL. De lá, execute estes comandos:
openssl.exe req -config openssl.cfg -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout NomedoServidor.key -out NomedoServidor.crt
openssl.exe pkcs12 -export -out NomedoServidor.pfx -inkey NomedoServidor.key -in NomedoServidor.crt
O primeiro comando gera um certificado assinado (arquivo .crt) e uma chave privada (arquivo .key). O segundo comando cria um arquivo combinado de certificado e chave em formato .pfx a partir do certificado e da chave gerados. Tenha em mente que você será solicitado a responder as mesmas perguntas ou perguntas semelhantes que se estivesse gerando uma CSR. Veja as capturas de tela abaixo:
Observação: como mencionado anteriormente, não recomendamos o uso de certificados autoassinados em ambientes de produção.
Instalar o certificado:
Após receber o certificado assinado da CA ou gerar um certificado autoassinado, é preciso instalá-lo. Para instalar o certificado, é necessário abrir um Console de Gerenciamento Microsoft (MMC) para acessar o snap-in de certificados seguindo estas etapas:
Clique em Iniciar e, em seguida, em Executar.
Na linha de comando, digite MMC e clique em OK.
No Console de Gerenciamento Microsoft (MMC), no menu Arquivo, clique em Adicionar/Remover snap-in.
Na caixa de diálogo Adicionar/Remover snap-in, clique em Adicionar.
Na caixa de diálogo Adicionar snap-in autônomo, selecione Certificados e clique em Adicionar.
Na caixa de diálogo Snap-in de certificados, selecione o botão de opção Conta do computador, pois o certificado precisa estar disponível para todos os usuários, e clique em Avançar.
Na caixa de diálogo Selecionar computador, deixe selecionado Computador local: (o computador no qual este console está sendo executado) e clique em Finalizar.
Na caixa de diálogo Adicionar snap-in autônomo, clique em Fechar.
Na caixa de diálogo Adicionar/Remover snap-in, clique em OK.
O próximo passo é importar de fato o certificado. Para fazer isso:
Expandir certificados > Pessoal
Clique com o botão direito do mouse em certificados em Pessoal.
Selecione Todas as tarefas > Importar.
Isso abrirá o assistente de importação de certificados.
Clique em Avançar
Navegue até o arquivo de certificados fornecido pela CA ou o arquivo pfx gerado pelas instruções de autoassinatura.
Clique em Avançar
Se estiver utilizando um certificado autoassinado ou se a CA tiver emitido um certificado que inclui a chave privada, a senha será solicitada. Caso contrário, essa etapa será ignorada pelo assistente de importação.
Digite a senha
Marque a caixa para sinalizar essa chave como exportável
Clique em Avançar
A próxima tela pedirá para confirmar o local onde deseja colocar o certificado. O repositório de certificados já deve estar definido como "Pessoal".
Se necessário, defina o repositório de certificados como Pessoal
Clique em Avançar
Na próxima tela, clique em Concluído.
Se estiver instalando um certificado autoassinado, é necessário repetir esses passos para definir o servidor local como uma autoridade confiável. Para fazer isso, instale o certificado uma segunda vez seguindo os mesmos passos acima. Porém, desta vez, instale-o no repositório das Autoridades de Certificação de raiz confiáveis, em vez do repositório Pessoal. É possível expandir as Autoridades de Certificação de raiz confiáveis clicando com o botão direito do mouse em certificados e escolhendo Todas as tarefas > Importar, ou alterando o repositório de certificados ao final do assistente de importação.
Configurar o Alteryx Server para utilizar o certificado:
Neste ponto, você pode seguir as instruções detalhadas do Guia de instalação e configuração do Alteryx Server para concluir a configuração. Como alternativa, você pode seguir com estas instruções simplificadas.
Primeiro é necessário coletar a impressão digital do certificado que foi instalado. É possível fazer isso em MMC > Certificados > Pessoal > Certificados, clicando com o botão direito do mouse no certificado instalado e selecionando Abrir. Isso abrirá um diálogo de certificado para o certificado instalado. Selecione a guia Detalhes e encontre o campo Impressão digital. Copie o valor e remova todos os espaços (por exemplo, 74d4ca722e2954cd225f9b4697d2fc7f6747194c)
Em seguida, é necessário vincular a porta http 443 ao certificado. Para isso, abra novamente seu prompt de comando de administrador. Execute o comando a seguir, certificando-se de substituir o certhash pelo valor de impressão digital capturado:
netsh http add sslcert ipport=0.0.0.0:443 certhash=74d4ca722e2954cd225f9b4697d2fc7f6747194c appid={eea9431a-a3d4-4c9b-9f9a-b83916c11c67}
Para verificar se a vinculação está correta, você pode executar o seguinte comando:
netsh http show sslcert
Observação: ao renovar um certificado expirado ou prestes a expirar, é necessário excluir a vinculação atual (netsh http delete sslcert ipport=0.0.0.0:443), capturar a impressão digital do novo certificado e vincular novamente o certificado utilizando as instruções acima.
Para a etapa final, é necessário configurar o serviço do Gallery para usar o SSL. Para isso, abra as Configurações de sistema do Alteryx e clique em Avançar até chegar ao Gallery > Geral. Assim que estiver lá, encontre a seção Endereço básico e marque a caixa para Habilitar SSL. Em seguida, clique em Avançar, Finalizado ou Concluído, conforme apropriado, para aplicar as alterações de configuração e reiniciar o serviço Alteryx.
Observação: o URL também deve coincidir com o nome para o qual o certificado foi emitido. Assim, se o certificado foi emitido para o nome de domínio totalmente qualificado do servidor (por exemplo, hostname.domain.tld), seu URL deve coincidir com isso utilizando https://hostname.domain.tld/gallery/. Se o certificado foi emitido apenas para o nome do host, é necessário utilizar https://hostname/gallery/. Se não houver correspondência entre o URL e o certificado, o serviço não será iniciado corretamente.
Versões aplicáveis: Alteryx Server 10.0 e 10.1
Créditos:
Ver artigo completo