Configuración de conexiones TLS en un servidor de informes en modo nativo
Se aplica a: 
SQL Server 2016 (13.x) Reporting Services y versiones posteriores Power BI Report Server
En el modo nativo de SQL Server Reporting Services (SSRS), puede usar el protocolo Transport Layer Security (TSL) para establecer conexiones cifradas con un servidor de informes. TLS se denominaba antes Capa de sockets seguros (SSL). Si tiene un archivo de certificado (.cer) instalado en un almacén de certificados local en el servidor de informes, puede enlazar el certificado a una reserva de direcciones URL de SSRS para admitir las conexiones con el servidor de informes en un canal cifrado.
Sugerencia
Para obtener más información acerca del modo SharePoint de SSRS, consulte Servidor de informes de Reporting Services (modo SharePoint).
Como Internet Information Services (IIS) también usa TLS, hay importantes problemas de interoperabilidad que es necesario tener en cuenta si IIS y SSRS se ejecutan en el mismo equipo. Para obtener instrucciones sobre cómo abordar estos problemas, revise la sección Problemas de interoperabilidad con IIS, más adelante en este artículo.
Requisitos previos
- Un servidor de informes configurado en modo nativo
- Un certificado de servidor instalado en el equipo
Instalar un certificado de servidor
Debe instalar un certificado de servidor en el servidor de informes del almacén local. No se admiten certificados de cliente.
SSRS no proporciona funciones para solicitar, generar, descargar o instalar un certificado. Es necesario elegir las propiedades que especifique para el certificado y la entidad de certificación de la que se obtiene. También decide las herramientas y utilidades que usa para solicitar e instalar el certificado.
Existen algunas posibilidades para obtener un certificado:
Windows Server proporciona un complemento Certificados que se puede usar para pedir un certificado de una entidad de certificación de confianza.
Si desea generar un certificado localmente con fines de prueba, puede ejecutar el siguiente script de PowerShell.
- Ejecute el script como administrador.
- Reemplace los marcadores de posición por valores adecuados para su entorno.
# Create a self-signed certificate in the local store. $newCertificate = New-SelfSignedCertificate -CertStoreLocation cert:\LocalMachine\My -DnsName <server-name> -FriendlyName "<friendly-name>" # Convert the report server password to a secure string. $secureStringPassword = ConvertTo-SecureString "<server-password>" -AsPlainText -Force # Set up a temporary folder if one doesn't exist. $folderPath = "C:\Temp" if (-not (Test-Path -Path $folderPath)) { New-Item -Path $folderPath -ItemType Directory } # Set up a variable for the path of a certificate file. $certificateFilePath = $folderPath, "\certificate-export.pfx" -join "" # Set up a variable for the path of the certificate's store location. $certificateStoreLocation = "cert:\LocalMachine\My\", $newCertificate.Thumbprint -join "" # Export the certificate to the file. Export-PFXCertificate -Cert $certificateStoreLocation -File $certificateFilePath -Password $secureStringPassword # Import the certificate from the file to the trusted root to avoid problems with the certificate not being trusted. Import-PfxCertificate -FilePath $certificateFilePath cert:\LocalMachine\Root -Password $secureStringPasswordEl certificado ya está disponible para su uso en el Administrador de configuración del servidor de informes.
Si ejecuta IIS y SSRS conjuntamente en el mismo equipo, puede usar la aplicación de consola del administrador de IIS para solicitar e instalar un certificado.
- En Administrador de IIS, cree y empaquete un archivo de solicitud de certificado (.crt) para su posterior procesamiento por parte una entidad de certificación de confianza. Para obtener más información, consulte Solicitar un certificado de servidor.
- Después de que la entidad de certificación le envíe el archivo de certificado (.cer), use la administración de IIS para instalar el archivo de certificado en el almacén local. Para obtener más información, consulte Instalar un certificado de servidor.
Problemas de interoperabilidad con IIS
La presencia de IIS en el mismo equipo que SSRS afectará significativamente a las conexiones TLS con un servidor de informes:
- Se crea una dependencia en IIS al configurar las direcciones URL del servidor de informes para las conexiones TLS. IIS, a su vez, tiene una dependencia en el servicio de publicación World Wide Web. Como resultado, el servicio de publicación World Wide Web debe ejecutarse al configurar las direcciones URL del servidor de informes para las conexiones TLS.
- Si desinstala IIS, puede interrumpir temporalmente el servicio para una dirección URL de servidor de informes enlazada a TLS. Después de desinstalar IIS, debe reiniciar el equipo para borrar todas las sesiones TLS de la memoria caché. Algunos sistemas operativos almacenan sesiones TLS en caché hasta 10 horas. Como resultado, una dirección URL enlazada a TLS puede seguir funcionando después de quitar el enlace TLS de la reserva de direcciones URL en el repositorio de HTTP.sys. Al reiniciar el equipo, se cierra cualquier conexión abierta que utilice el canal.
Enlace de TLS a una reserva de direcciones URL de SSRS
Las reservas de la dirección URL del portal web y la dirección URL del servicio web del servidor de informes se configuran de forma independiente.
Configuración del acceso al servicio web a través de un canal cifrado con TLS
Para configurar una dirección URL que puede usar para acceder al servidor de informes, siga estos pasos:
Abra el Administrador de configuración del servidor de informes y conéctese al servidor de informes.
En la página Estado del servidor de informes, seleccione Detener.
Un mensaje en la ventana Resultados indica que el servidor está detenido.
Seleccione Inicio. Un mensaje en la ventana Resultados indica que el servidor se está ejecutando.
En el panel Conectar, seleccione Dirección URL del servicio web.
En la lista Certificado HTTPS, seleccione el certificado que instaló.
Seleccione Aplicar. Los mensajes de la ventana Resultados indican el progreso de la herramienta de configuración.
En Direcciones URL del servicio web del servidor de informes, seleccione la dirección URL que ha reservado. Si se le pide, introduzca las credenciales de su servidor de informes. Se abre una ventana del explorador para proporcionar acceso al servidor de informes.
Si la dirección URL no se conecta al servidor de informes, compruebe la base de datos del servidor de informes. Para que la dirección URL funcione, primero debe crear y configurar la base de datos.
Configuración del acceso al portal web a través de un canal cifrado con TLS
Si también desea configurar el acceso del portal web a través de un canal cifrado con TLS, realice los pasos siguientes:
En el Administrador de configuración del servidor de informes, seleccione la dirección URL del portal web en el panel Conectar.
Seleccione Advanced (Avanzadas).
En Varias identidades HTTPS para la característica actual de Reporting Services, seleccione Agregar.
En la lista Certificado, seleccione el certificado que instaló y, a continuación, seleccione Aceptar.
Los mensajes de la ventana Resultados indican el progreso de la herramienta de configuración.
En Identificación del sitio del portal web, seleccione la dirección URL que ha reservado. Si se le pide, introduzca las credenciales de su servidor de informes. Se abre una ventana del explorador y se muestra la página principal de SSRS.
Cómo se almacenan los enlaces de certificados
Los enlaces de certificados se almacenarán en el repositorio HTTP.sys. Una representación de los enlaces que defina también se almacenará en la sección URLReservations del archivo RSReportServer.config.
Los valores del archivo de configuración solo son una representación de los valores reales que se especifican en otro lugar. No modifique directamente los valores en el archivo de configuración.
La configuración solo aparece en el archivo después de utilizar el Administrador de configuración del servidor de informes o el proveedor de Instrumental de administración de Windows (WMI) del servidor de informes para enlazar un certificado.
Nota:
Si configura un enlace con un certificado TLS en SSRS y posteriormente desea quitar el certificado del equipo, quite el enlace de SSRS antes de quitar el certificado del equipo. De lo contrario, no es posible quitar el enlace mediante el Administrador de configuración del servidor de informes o WMI, y recibirá el mensaje "Parámetro no válido".
Si ya ha quitado el certificado del equipo, puede utilizar la herramienta HttpCfg.exe para quitar el enlace del repositorio HTTP.sys. Para obtener más información, consulte HttpCfg.exe.
Los enlaces TLS son un recurso compartido en Microsoft Windows. Cuando use el Administrador de configuración de Reporting Services u otras herramientas como el Administrador de IIS para cambiar los enlaces, estos cambios pueden afectar a otras aplicaciones ubicadas en el mismo equipo.
Se recomienda usar la misma herramienta para crear y editar los enlaces. Por ejemplo, si creó enlaces TLS mediante el Administrador de configuración del servidor de informes, se recomienda usar este Administrador de configuración del servidor de informes para administrar el ciclo de vida de los enlaces. Si utiliza el administrador de IIS para crear enlaces, use este administrador para administrar el ciclo de vida de los enlaces.
Si instala IIS en el equipo antes de instalar SSRS, es recomendable que revise la configuración de TLS en IIS antes de configurar SSRS.