Notez que vous consultez la documentation Looker. Pour accéder à la documentation sur Looker Studio, consultez la page https://support.google.com/looker-studio.

Cette page a été traduite par l'API Cloud Translation.

Configurer votre certificat SSL pour HTTPS

Une installation par défaut de l'application Looker utilise des certificats SSL autosignés pour HTTPS. Pour les environnements de production des instances hébergées par le client, nous vous recommandons d'installer un certificat SSL d'un fournisseur de confiance.

Pour utiliser un certificat SSL avec Looker, vous devez créer un keystore Java avec votre certificat et votre clé.

Après décompression, vous disposez en principe des fichiers suivants :

Un fichier de certificat nommé looker.pem contenant votre certificat principal
Un fichier de clé associé nommé looker.key
Un fichier de chaîne d'autorité de certification (CA) intermédiaire nommé ca.pem (facultatif)

Votre fichier .pem n'a pas besoin de contenir de certificat racine.

Installer le certificat

Ces fichiers doivent tous se trouver dans le même répertoire. La valeur par défaut est /home/looker/looker/.ssl.

Créez le répertoire et faites-en le répertoire actuel:

mkdir /home/looker/looker/.ssl
cd /home/looker/looker/.ssl

Choisissez un mot de passe pour le keystore et placez-le dans un fichier nommé .keystorepass :
```
echo "some_password_here" > .keystorepass
```
Si vous disposez d'un fichier CA, ajoutez-le à la fin de votre fichier de certificat:
```
echo >> looker.pem
cat ca.pem >> looker.pem
```

Convertissez le certificat et la clé en keystore pkcs12:

openssl pkcs12 -export \
    -in looker.pem       \
    -inkey looker.key    \
    -out importme.p12

Vous êtes invité à saisir un mot de passe d'exportation. Utilisez celui que vous avez placé dans le fichier .keystorepass.

Convertissez le keystore pkcs12 en keystore Java:

keytool -importkeystore     \
    -srckeystore importme.p12 \
    -destkeystore looker.jks  \
    -srcstoretype pkcs12      \
    -alias 1

Vous êtes invité à saisir le nouveau mot de passe du keystore et celui du magasin de clés pkcs12. Continuez à utiliser celui du fichier .keystorepass.
Créez un fichier nommé lookerstart.cfg dans le même répertoire que votre fichier looker.jar. Ce fichier configurera les options Looker requises à chaque démarrage de Looker. Le fichier doit contenir les éléments suivants:

LOOKERARGS="--ssl-keystore=/home/looker/looker/.ssl/looker.jks --ssl-keystore-pass-file=/home/looker/looker/.ssl/.keystorepass"

Valider le certificat

Une fois Looker en cours d'exécution, vous pouvez vérifier que votre certificat est correctement installé avec OpenSSL s_client.

openssl s_client -connect localhost:9999

Si votre nom d'hôte est looker.yourdomain.com, une ligne semblable à celle-ci doit s'afficher dans le résultat:

subject=/OU=Domain Control Validated/CN=looker.yourdomain.com

Vous pouvez également utiliser wget. Ce test peut être effectué à partir de n'importe quel hôte disposant d'un accès réseau à votre instance Looker via HTTPS.

Sur une instance Looker utilisant le certificat autosigné par défaut, le résultat affiche le nom commun du certificat self-signed.looker.com:

$ wget https://looker.yourdomain.com:9999
--2014-12-31 12:06:03--  https://looker.yourdomain.com:9999/
Resolving looker.yourdomain.com (looker.yourdomain.com)... 192.168.23.66
Connecting to looker.yourdomain.com (looker.yourdomain.com)|192.168.23.66|:9999... connected.
ERROR: cannot verify looker.yourdomain.com's certificate, issued by '/CN=self-signed.looker.com':
  Self-signed certificate encountered.
    ERROR: certificate common name 'self-signed.looker.com' doesn't match requested host name 'looker.yourdomain.com'.
To connect to looker.yourdomain.com insecurely, use `--no-check-certificate'.

Sur un produit Looker utilisant un certificat d'une autorité de certification, le nom commun du certificat doit correspondre au nom DNS utilisé par les clients pour accéder à Looker (ou un certificat générique équivalent).

Voici un exemple de serveur utilisant un "vrai" (non autosigné) :

$ wget https://looker.yourdomain.com:9999
--2014-12-31 12:06:47--  https://looker.yourdomain.com:9999/
Resolving looker.yourdomain.com (looker.yourdomain.com)... 10.10.10.10
Connecting to looker.yourdomain.com (looker.yourdomain.com)|10.10.10.10|:9999... connected.
HTTP request sent, awaiting response... 302 Found
Location: https://looker.yourdomain.com:9999/login [following]
--2014-12-31 12:06:48--  https://looker.yourdomain.com:9999/login
Connecting to looker.yourdomain.com (looker.yourdomain.com)|10.10.10.10|:9999... connected.
HTTP request sent, awaiting response... 200 OK
Length: 3491 (3.4K) [text/html]
Saving to: 'index.html'

100%[====================================================>] 3,491       --.-K/s   in 0.07s

2014-12-31 12:06:48 (50.5 KB/s) - 'index.html' saved [3491/3491]

Valider le certificat d'un site par rapport au groupe d'autorités de certification

Depuis Looker 5.18, Looker utilise le groupe de certificats racine de l'autorité de certification Java. Looker utilise le bundle d'autorités de certification pour vérifier l'authenticité des hôtes avec lesquels il communique lorsqu'il envoie des requêtes sortantes depuis le serveur Looker. Cela inclut des actions telles que l'envoi de requêtes à des webhooks sortants, l'exécution de sauvegardes S3, la demande de diverses formes d'authentification et la communication avec le serveur de validation de licence.

Java fournit et gère le groupe d'autorités de certification qui se trouve sur le disque. Cela permet aux administrateurs des instances Looker hébergées par le client d'ajouter des certificats au bundle d'autorités de certification ou d'en supprimer.

Si vous choisissez de modifier le bundle d'autorités de certification, vous pouvez utiliser l'utilitaire test_ssl_cert_validation de Looker pour vérifier si Looker peut valider un certificat de serveur lors d'une connexion HTTP sortante. L'utilitaire accepte le nom d'un fichier contenant la liste des URL à tester, avec une URL par ligne, comme ceci:

https://www.google.com
https://looker.com
https://wrong.host.badssl.com/

Si le nom de ce fichier était hosts, vous utiliseriez test_ssl_cert_validation comme suit :

$ ./looker test_ssl_cert_validation hosts

Le résultat de test_ssl_cert_validation se présente comme suit:

Using CA file from .../jre/lib/security/cacerts

Attempting connection to https://www.google.com
Certificate verified successfully, connection returned with:
HTTP/1.1 200 OK

Attempting connection to https://looker.com
Certificate verified successfully, connection returned with:
HTTP/1.1 200 OK

Attempting connection to https://wrong.host.badssl.com/
Error connecting to https://wrong.host.badssl.com/: OpenSSL::SSL::SSLError: hostname
"wrong.host.badssl.com" does not match the server certificate

Summary:
Successes: 3, Redirects: 0, Failures: 1

Désactivation des protocoles SSL non sécurisés

Pour désactiver les connexions TSL1.0 entrantes à Looker, suivez l'une des deux méthodes suivantes:

Modifiez la ligne ssl_protocols dans votre fichier de configuration Nginx et supprimez l'option TLSv1, comme indiqué dans cet extrait de code :
```
   ssl-protocols: "TLSv1.2 TLSv1.3"
```
Configurez un proxy ou un équilibreur de charge devant Looker qui met fin au protocole TLS ou SSL. Désactivez ensuite le protocole SSL au niveau de Looker.

Étapes suivantes

Une fois votre certificat SSL configuré, vous pouvez ajouter un transfert de port pour obtenir une URL plus claire.