Bagikan melalui

Mengonfigurasi koneksi TLS pada server laporan mode native

  • Artikel

Berlaku untuk: SQL Server 2016 (13.x) Reporting Services dan Server Laporan Power BI yang lebih baru

Dalam mode asli SQL Server Reporting Services (SSRS), Anda dapat menggunakan protokol Keamanan Lapisan Transportasi (TLS) untuk membuat koneksi terenkripsi ke server laporan. TLS sebelumnya dikenal sebagai Secure Sockets Layer (SSL). Jika Anda memiliki file sertifikat (.cer) yang diinstal di penyimpanan sertifikat lokal di server laporan, Anda dapat mengikat sertifikat ke reservasi URL SSRS untuk mendukung koneksi server laporan melalui saluran terenkripsi.

Tip

Untuk informasi selengkapnya tentang mode SSRS SharePoint, lihat Server Laporan Reporting Services (mode SharePoint).

Karena Layanan Informasi Internet (IIS) juga menggunakan TLS, ada masalah interoperabilitas signifikan yang harus Anda perhitungkan jika Anda menjalankan IIS dan SSRS di komputer yang sama. Untuk panduan tentang cara mengatasi masalah ini, tinjau bagian Masalah interoperabilitas dengan IIS , nanti di artikel ini.

Prasyarat

  • Server laporan mode asli yang dikonfigurasi
  • Sertifikat server terinstal di komputer Anda

Menginstal sertifikat server

Anda harus menginstal sertifikat server pada server laporan Anda di penyimpanan lokal. Sertifikat klien tidak didukung.

SSRS tidak menyediakan fungsionalitas untuk meminta, membuat, mengunduh, atau menginstal sertifikat. Terserah Anda untuk memilih properti yang Anda tentukan untuk sertifikat dan otoritas sertifikat tempat Anda mendapatkannya. Anda juga memutuskan alat dan utilitas yang Anda gunakan untuk meminta dan menginstal sertifikat.

Beberapa kemungkinan ada untuk mendapatkan sertifikat:

  • Windows Server menyediakan snap-in Sertifikat yang dapat Anda gunakan untuk meminta sertifikat dari otoritas sertifikat tepercaya.

  • Jika Anda ingin membuat sertifikat secara lokal untuk tujuan pengujian, Anda bisa menjalankan skrip PowerShell berikut ini.

    • Jalankan skrip sebagai administrator.
    • Ganti tempat penampung dengan nilai yang sesuai untuk lingkungan Anda.
    # Create a self-signed certificate in the local store.
$newCertificate = New-SelfSignedCertificate -CertStoreLocation cert:\LocalMachine\My -DnsName <server-name> -FriendlyName "<friendly-name>"

# Convert the report server password to a secure string.
$secureStringPassword = ConvertTo-SecureString "<server-password>" -AsPlainText -Force

# Set up a temporary folder if one doesn't exist.
$folderPath = "C:\Temp"
if (-not (Test-Path -Path $folderPath)) {
    New-Item -Path $folderPath -ItemType Directory
}

# Set up a variable for the path of a certificate file.
$certificateFilePath = $folderPath, "\certificate-export.pfx" -join ""

# Set up a variable for the path of the certificate's store location.
$certificateStoreLocation = "cert:\LocalMachine\My\", $newCertificate.Thumbprint -join ""

# Export the certificate to the file.
Export-PFXCertificate -Cert $certificateStoreLocation -File $certificateFilePath -Password $secureStringPassword

# Import the certificate from the file to the trusted root to avoid problems with the certificate not being trusted. 
Import-PfxCertificate -FilePath $certificateFilePath cert:\LocalMachine\Root -Password $secureStringPassword

    Sertifikat sekarang tersedia untuk digunakan di Manajer Konfigurasi Server Laporan.

  • Jika Anda menjalankan IIS dan SSRS bersama-sama di komputer yang sama, Anda dapat menggunakan aplikasi konsol IIS Manager untuk meminta dan menginstal sertifikat:

    1. Di Manajer IIS, buat dan kemas file permintaan sertifikat (.crt) untuk pemrosesan berikutnya oleh otoritas sertifikat tepercaya. Untuk informasi selengkapnya, lihat Meminta Sertifikat Server.
    2. Setelah otoritas sertifikat mengirimkan file sertifikat (.cer) kepada Anda, gunakan Manajemen IIS untuk menginstal file sertifikat di penyimpanan lokal. Untuk informasi selengkapnya, lihat Menginstal Sertifikat Server.

Masalah interoperabilitas dengan IIS

Kehadiran IIS di komputer yang sama dengan SSRS secara signifikan memengaruhi koneksi TLS ke server laporan:

  • Dependensi dibuat di IIS saat Anda mengonfigurasi URL server laporan untuk koneksi TLS. IIS, pada gilirannya, memiliki dependensi pada World Wide Web Publishing Service. Akibatnya, World Wide Web Publishing Service harus berjalan saat Anda mengonfigurasi URL server laporan untuk koneksi TLS.
  • Menghapus instalasi IIS dapat mengganggu layanan untuk sementara waktu ke URL server laporan yang terikat TLS. Setelah menghapus instalan IIS, Anda harus memulai ulang komputer untuk menghapus semua sesi TLS dari cache. Beberapa sistem operasi menyimpan sesi TLS hingga 10 jam. Akibatnya, URL yang terikat TLS dapat terus berfungsi setelah pengikatan TLS dihapus dari reservasi URL di repositori HTTP.sys. Menghidupkan ulang komputer menutup sambungan terbuka yang menggunakan saluran.

Mengikat TLS ke reservasi URL SSRS

Reservasi untuk URL layanan web server laporan dan URL portal web dikonfigurasi secara independen.

Mengonfigurasi akses layanan web melalui saluran terenkripsi TLS

Untuk mengonfigurasi URL yang bisa Anda gunakan untuk mengakses server laporan, lakukan langkah-langkah berikut:

  1. Buka Manajer Konfigurasi Server Laporan dan sambungkan ke server laporan.

  2. Di halaman Status Server Laporan, pilih Hentikan.

    Cuplikan layar halaman Status Server Laporan di alat konfigurasi. Tombol Hentikan disorot.

    Pesan di jendela Hasil menunjukkan bahwa server dihentikan.

  3. Pilih Mulai. Pesan di jendela Hasil menunjukkan bahwa server sedang berjalan.

  4. Di panel Sambungkan , pilih URL Layanan Web.

    Cuplikan layar alat konfigurasi. Di sebelah kiri, URL Layanan Web disorot.

  5. Di daftar Sertifikat HTTPS, pilih sertifikat yang Anda instal.

    Cuplikan layar alat konfigurasi. Dalam daftar Sertifikat HTTPS, sertifikat bernama Sertifikat uji disorot.

  6. Pilih Terapkan. Pesan di jendela Hasil menunjukkan kemajuan alat konfigurasi.

    Cuplikan layar jendela Hasil di alat konfigurasi. Pesan menunjukkan pengikatan sertifikat yang berhasil.

  7. Di bawah URL Layanan Web Server Laporan, pilih URL yang Anda pesan. Jika diminta, masukkan kredensial untuk server laporan Anda. Jendela browser terbuka untuk menyediakan akses ke server laporan.

    Cuplikan layar jendela browser yang memperlihatkan halaman utama folder ReportServer server laporan.

    Jika URL tidak tersambung ke server laporan, periksa database server laporan. Agar URL berfungsi, Anda harus terlebih dahulu membuat dan mengonfigurasi database.

Mengonfigurasi akses portal web melalui saluran terenkripsi TLS

Jika Anda juga ingin mengonfigurasi akses ke portal web melalui saluran terenkripsi TLS, lakukan langkah-langkah berikut:

  1. Di Manajer Konfigurasi Server Laporan, di panel Sambungkan , pilih URL Portal Web.

  2. Pilih Tingkat Lanjut.

  3. Di bawah Beberapa Identitas HTTPS untuk fitur Layanan Pelaporan saat ini, pilih Tambahkan.

    Cuplikan layar halaman Konfigurasi Beberapa Situs Web Tingkat Lanjut, dengan tombol Tambahkan disorot untuk beberapa identitas HTTPS.

  4. Di daftar Sertifikat, pilih sertifikat yang Anda instal, lalu pilih OK.

    Cuplikan layar jendela Tambahkan Pengikatan HTTPS Server Laporan. Tombol OK dan sertifikat dalam daftar Sertifikat disorot.

    Pesan di jendela Hasil menunjukkan kemajuan alat konfigurasi.

    Cuplikan layar jendela Hasil di alat konfigurasi. Pesan menunjukkan pengikatan sertifikat yang berhasil untuk portal web.

  5. Di bawah Identifikasi Situs Portal Web, pilih URL yang Anda pesan. Jika diminta, masukkan kredensial untuk server laporan Anda. Jendela browser membuka dan menampilkan beranda SSRS.

    Cuplikan layar jendela browser yang memperlihatkan folder utama SSRS.

Bagaimana pengikatan sertifikat disimpan

Pengikatan sertifikat disimpan di repositori HTTP.sys. Representasi pengikatan yang Anda tentukan disimpan di bagian URLReservations dari file RSReportServer.config.

Pengaturan dalam file konfigurasi hanya merupakan representasi dari nilai aktual yang ditentukan di tempat lain. Jangan ubah nilai dalam file konfigurasi secara langsung.

Pengaturan konfigurasi muncul dalam file hanya setelah Anda menggunakan Manajer Konfigurasi Server Laporan atau penyedia Report Server Windows Management Instrumentation (WMI) untuk mengikat sertifikat.

Catatan

Jika Anda mengonfigurasi pengikatan dengan sertifikat TLS di SSRS dan anda kemudian ingin menghapus sertifikat dari komputer, hapus pengikatan dari SSRS sebelum Anda menghapus sertifikat dari komputer. Jika tidak, tidak dimungkinkan untuk menghapus pengikatan dengan menggunakan Manajer Konfigurasi Server Laporan atau WMI, dan Anda menerima pesan "Parameter tidak valid".

Setelah menghapus sertifikat dari komputer, Anda dapat menggunakan alat HttpCfg.exe untuk menghapus pengikatan dari repositori HTTP.sys. Untuk informasi selengkapnya, lihat HttpCfg.exe.

Pengikatan TLS adalah sumber daya bersama di Windows. Saat Anda menggunakan Manajer Konfigurasi Server Laporan atau alat lain seperti Manajer IIS untuk mengubah pengikatan, perubahan tersebut dapat memengaruhi aplikasi lain di komputer yang sama.

Praktik terbaik adalah menggunakan alat yang sama untuk membuat dan mengedit pengikatan. Misalnya, jika Anda membuat pengikatan TLS dengan menggunakan Manajer Konfigurasi Server Laporan, gunakan juga Manajer Konfigurasi Server Laporan untuk mengelola siklus hidup pengikatan. Jika Anda menggunakan manajer IIS untuk membuat pengikatan, gunakan manajer IIS untuk mengelola siklus hidup pengikatan.

Jika Anda menginstal IIS di komputer sebelum menginstal SSRS, ini adalah praktik yang baik untuk meninjau konfigurasi TLS di IIS sebelum Anda mengonfigurasi SSRS.

Konten terkait