Teilen über


Konfigurieren von TLS-Verbindungen auf einem Berichtsserver im einheitlichen Modus

Gilt für: SQL Server 2016 (13.x) Reporting Services und höher Power BI-Berichtsserver

Im nativen Modus von SQL Server Reporting Services (SSRS) können Sie das Transport Layer Security (TLS)-Protokoll verwenden, um verschlüsselte Verbindungen zu einem Berichtsserver herzustellen. TLS wurde früher als Secure Sockets Layer (SSL) bezeichnet. Wenn in einem lokalen Zertifikatspeicher auf dem Berichtsserver eine Zertifikatsdatei (CER-Datei) installiert ist, können Sie das Zertifikat an eine SSRS-URL-Reservierung binden, um Berichtsserververbindungen über einen verschlüsselten Kanal zu unterstützen.

Tipp

Weitere Informationen zum SSRS SharePoint-Modus finden Sie in Reporting Services Report Server (SharePoint Modus).

Da Internetinformationsdienste (IIS) auch TLS verwenden, bestehen signifikante Probleme mit der Interoperabilität, die berücksichtigt werden müssen, wenn IIS und SSRS auf demselben Computer ausgeführt werden. Eine Anleitung zur Lösung dieser Probleme finden Sie im Abschnitt Interoperabilitätsprobleme mit IIS weiter unten in diesem Artikel.

Voraussetzungen

  • Im nativen Modus konfigurierter Berichtsserver
  • Auf Ihrem Computer installiertes Serverzertifikat

Installieren eines Serverzertifikats

Sie müssen ein Serverzertifikat auf Ihrem Berichtsserver im lokalen Speicher installieren. Clientzertifikate werden nicht unterstützt

SSRS bietet keine Funktionalität für das Anfordern, Generieren, Herunterladen oder Installieren von Zertifikaten. Es liegt an Ihnen, die Eigenschaften auszuwählen, die Sie für das Zertifikat und die Zertifizierungsstelle angeben, von der Sie es erhalten. Außerdem entscheiden Sie sich für die Tools und Dienstprogramme, die Sie zum Anfordern und Installieren des Zertifikats verwenden.

Es gibt einige Möglichkeiten zum Abrufen eines Zertifikats:

  • Windows Server bietet ein Zertifikate-Snap-In, mit dem Sie ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle anfordern können.

  • Wenn Sie ein Zertifikat lokal zu Testzwecken generieren möchten, können Sie das folgende PowerShell-Skript ausführen.

    • Führen Sie das Skript als Administrator aus.
    • Ersetzen Sie die Platzhalter mit Werten, die für Ihre Umgebung geeignet sind.
    # Create a self-signed certificate in the local store.
    $newCertificate = New-SelfSignedCertificate -CertStoreLocation cert:\LocalMachine\My -DnsName <server-name> -FriendlyName "<friendly-name>"
    
    # Convert the report server password to a secure string.
    $secureStringPassword = ConvertTo-SecureString "<server-password>" -AsPlainText -Force
    
    # Set up a temporary folder if one doesn't exist.
    $folderPath = "C:\Temp"
    if (-not (Test-Path -Path $folderPath)) {
        New-Item -Path $folderPath -ItemType Directory
    }
    
    # Set up a variable for the path of a certificate file.
    $certificateFilePath = $folderPath, "\certificate-export.pfx" -join ""
    
    # Set up a variable for the path of the certificate's store location.
    $certificateStoreLocation = "cert:\LocalMachine\My\", $newCertificate.Thumbprint -join ""
    
    # Export the certificate to the file.
    Export-PFXCertificate -Cert $certificateStoreLocation -File $certificateFilePath -Password $secureStringPassword
    
    # Import the certificate from the file to the trusted root to avoid problems with the certificate not being trusted. 
    Import-PfxCertificate -FilePath $certificateFilePath cert:\LocalMachine\Root -Password $secureStringPassword
    

    Das Zertifikat ist jetzt für die Verwendung im Berichtsserver Configuration Manager verfügbar.

  • Wenn Sie IIS und SSRS zusammen auf demselben Computer ausführen, können Sie die Konsolenanwendung IIS Manager verwenden, um ein Zertifikat anzufordern und zu installieren:

    1. Im IIS-Manager erstellen und verpacken Sie eine Zertifikatanforderung (CRT-Datei), sodass sie nachfolgend von einer vertrauenswürdigen Zertifizierungsstelle verarbeitet werden kann. Weitere Informationen finden Sie unter Ein Serverzertifikat anfordern.
    2. Nachdem die Zertifizierungsstelle Ihnen das Zertifikat (.cer)-Datei sendet, verwenden Sie die den IIS-Manager, um die Zertifikatdatei im lokalen Speicher zu installieren. Weitere Informationen finden Sie unter Ein Serverzertifikat installieren.

Interoperabilitätsprobleme mit IIS

Wenn IIS auf demselben Computer vorhanden ist wie SSRS, wirkt sich dies entscheidend auf die TLS-Verbindungen mit einem Berichtsserver aus:

  • Beim Konfigurieren von Berichtsserver-URLs für TLS-Verbindungen wird eine Abhängigkeit von IIS erstellt. IIS hat wiederum eine Abhängigkeit vom World Wide Web Publishing Service. Daher muss der World Wide Web Publishing Service ausgeführt werden, wenn Sie Berichtsserver-URLs für TLS-Verbindungen konfigurieren.
  • Durch das Deinstallieren von IIS kann der Dienst zu einer TLS-gebundenen Berichtsserver-URL vorübergehend unterbrochen werden. Nachdem Sie IIS deinstalliert haben, sollten Sie den Computer neu starten, um alle TLS-Sitzungen aus dem Cache zu löschen. Einige Betriebssysteme speichern TLS-Sitzungen bis zu 10 Stunden. Daher kann eine TLS-gebundene URL weiterhin funktionieren, nachdem die TLS-Bindung aus der URL-Reservierung im HTTP.sys-Repository entfernt wurde. Durch den Neustart des Computers werden alle offenen Verbindungen, die den Kanal verwenden, geschlossen.

Binden von TLS an eine SSRS-URL-Reservierung

Reservierungen für die Berichtsserver-Webdienst-URL und Webportal-URL werden unabhängig voneinander konfiguriert.

Konfigurieren des Webdienstzugriffs über einen Kanal mit TLS-Verschlüsselung

Führen Sie die folgenden Schritte aus, um eine URL zu konfigurieren, die Sie für den Zugriff auf den Berichtsserver verwenden können:

  1. Öffnen Sie den Configuration-Manager für Berichtsserver und stellen Sie eine Verbindung mit dem Berichtsserver her.

  2. Klicken Sie auf der Seite Berichtsserverstatus auf Beenden.

    Screenshot der Berichtsserverstatus-Seite im Konfigurationstool. Die Schaltfläche „Beenden“ ist hervorgehoben.

    Eine Meldung im Fenster Ergebnisse gibt an, dass der Server beendet wird.

  3. Wählen Sie Starten aus. Eine Meldung im Fenster Ergebnisse gibt an, dass der Server läuft.

  4. Wählen Sie im Bereich Verbinden die Webdienst-URL aus.

    Screenshot des Konfigurationstools. Links ist die Webdienst-URL hervorgehoben.

  5. Wählen Sie in der Liste HTTPS-Zertifikat das Zertifikat aus, das Sie installiert haben.

    Screenshot des Konfigurationstools. In der Liste HTTPS-Zertifikat wird ein Zertifikat mit dem Namen „Testzertifikat“ hervorgehoben.

  6. Wählen Sie Übernehmen. Nachrichten im Fenster Ergebnisse geben den Status des Konfigurationstools an.

    Screenshot des Fensters „Ergebnisse“ im Konfigurationstool. Nachrichten geben eine erfolgreiche Zertifikatbindung an.

  7. Wählen Sie unter Berichtsserver-Webdienst-URLs des Berichtsservers die URL aus, die Sie reserviert haben. Wenn Sie dazu aufgefordert werden, geben Sie Ihre Anmeldedaten für Berichtsserver ein. Ein Browserfenster wird geöffnet, um Zugriff auf den Berichtsserver zu ermöglichen.

    Screenshot eines Browserfensters, das die Hauptseite des Reportserver-Ordners des Berichtsservers anzeigt.

    Wenn die URL keine Verbindung mit dem Berichtsserver herstellt, überprüfen Sie die Berichtsserver-Datenbank. Damit die URL funktioniert, müssen Sie zuerst die Datenbank erstellen und konfigurieren.

Konfigurieren des Webportal-Zugriffs über einen Kanal mit TLS-Verschlüsselung

Wenn Sie auch den Zugriff auf das Webportal über einen TLS-verschlüsselten Kanal konfigurieren möchten, fahren Sie mit den folgenden Schritten fort:

  1. Wählen Sie im Configuration Manager von Berichtsserver im Bereich Verbinden die Option Webportal-URL.

  2. Wählen Sie Erweitert.

  3. Klicken Sie unter Mehrere HTTPS-Identitäten für das aktuell ausgewählte Reporting Services-Feature auf Hinzufügen.

    Screenshot der Seite „Erweiterte Konfiguration mehrerer Websites“ mit hervorgehobener Schaltfläche „Hinzufügen“ für mehrere HTTPS-Identitäten.

  4. Wählen Sie in der Liste Zertifikat das Zertifikat aus, das Sie installiert haben, und wählen Sie dann OK aus.

    Screenshot des Fensters „HTTPS-Bindung eines Berichtsservers hinzufügen“. Die Schaltfläche „OK“ und ein Zertifikat in der Zertifikatliste sind hervorgehoben.

    Nachrichten im Fenster Ergebnisse geben den Status des Konfigurationstools an.

    Screenshot des Fensters „Ergebnisse“ im Konfigurationstool. Nachrichten geben eine erfolgreiche Zertifikatbindung für das Webportal an.

  5. Wählen Sie unter Webportal-Seitenidentifikation des Webportals die URL aus, die Sie reserviert haben. Wenn Sie dazu aufgefordert werden, geben Sie Ihre Anmeldedaten für Berichtsserver ein. Ein Browserfenster wird geöffnet und zeigt die SSRS-Startseite an.

    Screenshot eines Browserfensters, das den Hauptordner von SSRS zeigt.

Speichern von Zertifikatbindungen

Zertifikatsbindungen werden in HTTP.sys-Repository gespeichert. Eine Darstellung der definierten Bindungen wird auch im Abschnitt URLReservations der Datei RSReportServer.config gespeichert.

Die Einstellungen in der Konfigurationsdatei sind nur eine Darstellung der tatsächlichen, an anderer Stelle gespeicherten Werte. Ändern Sie die Werte in der Konfigurationsdatei nicht direkt.

Die Konfigurationseinstellungen werden in der Datei erst angezeigt, wenn Sie Berichtsserver-Configuration Manager oder den Berichtsserver-WMI-Anbieter (Windows-Verwaltungsinstrumentation) verwenden, um ein Zertifikat zu binden.

Hinweis

Wenn Sie eine Bindung mit einem TLS-Zertifikat in SSRS konfigurieren und das Zertifikat später vom Computer entfernen möchten, müssen Sie die Bindung aus SSRS entfernen, bevor Sie das Zertifikat vom Computer entfernen. Andernfalls ist es nicht möglich, die Bindung mithilfe von Berichtsserver Configuration Manager oder WMI zu entfernen, und Sie erhalten eine Meldung „Ungültiger Parameter“.

Wenn Sie das Zertifikat vom Computer entfernt haben, können Sie das Tool HttpCfg.exe verwenden, um die Bindung aus HTTP.sys-Repository zu entfernen. Weitere Informationen finden Sie unter HttpCfg.exe.

TLS-Bindungen stellen in Windows eine freigegebene Ressource dar. Wenn Sie den Configuration Manager des Berichtsservers oder andere Tools wie IIS-Manager verwenden, um die Bindungen zu ändern, können sich diese Änderungen auf andere Anwendungen auf demselben Computer auswirken.

Am besten ist es, das gleiche Tool zum Erstellen und Bearbeiten der Bindungen zu verwenden. Wenn Sie z. B. TLS-Bindungen mit dem Report Server Configuration Manager erstellen, verwenden Sie auch den Berichtsserver Configuration Manager, um den Lebenszyklus der Bindungen zu verwalten. Wenn Sie Bindungen mit dem IIS-Manager erstellt haben, sollten Sie den Lebenszyklus der Bindungen mit dem IIS-Manager verwalten.

Wenn Sie IIS auf Ihrem Computer installieren, bevor Sie SSRS installieren, wird empfohlen, die TLS-Konfiguration in IIS zu überprüfen, bevor Sie SSRS konfigurieren.