Mutual SSL schlägt nach dem Upgrade fehl, wenn die Zertifikate mit SHA-1 signiert sind

Problem

Ab Tableau Server 2020.4 erlaubt Tableau Server mit eingerichteter gegenseitiger SSL-Authentifizierung keine Authentifizierung von Benutzern mit Client-Zertifikaten, die den SHA1-Signaturalgorithmus verwenden.

Die Anmeldung führt zu dem Fehler "Unable to sign in" (Anmeldung nicht möglich), und der folgende Fehler wird in den VizPortal-Protokollen angezeigt:
Unsupported client certificate signature detected: [certificate Signature Algorithm name] (Nicht unterstützte Client-Zertifikatssignatur entdeckt: [Name des Zertifikat-Signaturalgorithmus])

Umgebung

Tableau Server 2020.4 und neuer

Lösung

Option 1: Aktualisieren Ihrer Zertifikate
Wenn Sie Tableau Server mit gegenseitiger SSL-Authentifizierung verwenden, empfehlen wir, Ihre Zertifikate zu aktualisieren, um SHA256-Signaturen (oder stärkere Signaturen) zu verwenden, bevor Sie auf Tableau Server 2020.4 oder neuer aktualisieren.

Option 2: Deaktivieren der Hash-Blockliste als temporäre Problemumgehung

Als temporäre Maßnahme können Sie die Blockierung von Signatur-Hashes mit dem folgenden Befehl deaktivieren:

tsm configuration set -k "ssl.client_certificate_login.blocklisted_signature_algorithms" -v ""

Nachdem die Zertifikate auf einen sicheren Algorithmus aktualisiert wurden, aktivieren Sie die Blockliste mit dem folgenden Befehl wieder:

tsm configuration set -k “ssl.client_certificate_login.blocklisted_signature_algorithms” -v “sha1withrsaencryption,sha1withrsa”

HINWEIS: Sie können mit dem folgenden Befehl prüfen, welche Ihrer Signatur-Hashes auf der Blockliste stehen:

tsm configuration get -k "ssl.client_certificate_login.blocklisted_signature_algorithms"

Ursache

Um die Sicherheit zu verbessern, unterstützt Tableau Server ab Version 2020.4 den unsicheren Signaturalgorithmus SHA-1 für gegenseitiges SSL nicht mehr.