KNOWLEDGE BASE

Mutual SSL schlägt nach dem Upgrade fehl, wenn die Zertifikate mit SHA-1 signiert sind


Veröffentlicht: 02 Jun 2020
Zuletzt geändert am: 24 Aug 2022

Problem

Ab Tableau Server 2020.4 erlaubt Tableau Server mit eingerichteter gegenseitiger SSL-Authentifizierung keine Authentifizierung von Benutzern mit Client-Zertifikaten, die den SHA1-Signaturalgorithmus verwenden. 

Die Anmeldung führt zu dem Fehler "Unable to sign in" (Anmeldung nicht möglich), und der folgende Fehler wird in den VizPortal-Protokollen angezeigt: 
Unsupported client certificate signature detected: [certificate Signature Algorithm name] (Nicht unterstützte Client-Zertifikatssignatur entdeckt: [Name des Zertifikat-Signaturalgorithmus])

Umgebung

Tableau Server 2020.4 und neuer

Lösung

Option 1: Aktualisieren Ihrer Zertifikate
Wenn Sie Tableau Server mit gegenseitiger SSL-Authentifizierung verwenden, empfehlen wir, Ihre Zertifikate zu aktualisieren, um SHA256-Signaturen (oder stärkere Signaturen) zu verwenden, bevor Sie auf Tableau Server 2020.4 oder neuer aktualisieren.
 

Option 2: Deaktivieren der Hash-Blockliste als temporäre Problemumgehung

Als temporäre Maßnahme können Sie die Blockierung von Signatur-Hashes mit dem folgenden Befehl deaktivieren:

tsm configuration set -k "ssl.client_certificate_login.blocklisted_signature_algorithms" -v ""


Nachdem die Zertifikate auf einen sicheren Algorithmus aktualisiert wurden, aktivieren Sie die Blockliste mit dem folgenden Befehl wieder:

tsm configuration set -k “ssl.client_certificate_login.blocklisted_signature_algorithms” -v “sha1withrsaencryption,sha1withrsa”


HINWEIS: Sie können mit dem folgenden Befehl prüfen, welche Ihrer Signatur-Hashes auf der Blockliste stehen:

tsm configuration get -k "ssl.client_certificate_login.blocklisted_signature_algorithms"

Ursache

Um die Sicherheit zu verbessern, unterstützt Tableau Server ab Version 2020.4 den unsicheren Signaturalgorithmus SHA-1 für gegenseitiges SSL nicht mehr. 

Zusätzliche Informationen

Weitere Informationen darüber, warum Tableau die Unterstützung für SHA-1-Signaturen einstellt, finden Sie in der NIST-Richtlinie zu Hash-Funktionen.
Hat dieser Artikel das Problem gelöst?