Udostępnij za pośrednictwem

Spowolnienie witryny z powodu sprawdzania listy CRL certyfikatu usługi SharePoint STS

  • Dotyczy: SharePoint Foundation 2010, SharePoint Server 2010

Symptomy

Załóżmy, że masz aplikację internetową, która używa uwierzytelniania opartego na oświadczeniach w programie SharePoint Foundation 2010 lub SharePoint Server 2010. Serwer programu SharePoint nie ma dostępu do Internetu lub serwer jest chroniony przez zaporę, która ma otwarte ograniczone porty. W takiej sytuacji użytkownicy sporadycznie doświadczają długich opóźnień podczas wykonywania pewnych operacji, takich jak logowanie się do witryny lub wyszukiwanie. Użytkownicy mogą również napotkać przekroczenia limitu czasu HTTP podczas wykonywania tych operacji.

Przyczyna

Program SharePoint używa certyfikatów do podpisywania tokenów zabezpieczających wystawionych przez usługę tokenu zabezpieczającego (STS). Podobnie jak wszystkie certyfikaty, ważność certyfikatu STS musi być okresowo weryfikowana, aby upewnić się, że certyfikat nie został odwołany. Domyślnie certyfikat główny w łańcuchu nie jest dodawany do magazynu zaufanych głównych urzędów certyfikacji serwerów programu SharePoint. W związku z tym sprawdzanie listy odwołania certyfikatów (CRL) dla certyfikatu jest wykonywane przez Internet. Jeśli z jakiegoś powodu nie można uzyskać dostępu do serwera CRL online z serwera programu SharePoint, domyślnie operacja przekroczy limit czasu po 15 sekundach. Nawet jeśli weryfikacja listy CRL zakończy się niepowodzeniem po 15 sekundach, strona programu SharePoint może być nadal renderowana po opóźnieniu.

Błędy weryfikacji certyfikatu można śledzić, włączając rejestrowanie zdarzeń CAPI2 na serwerze programu SharePoint. Po włączeniu rejestrowania zdarzeń CAPI2 i niepowodzeniu weryfikacji certyfikatu internetowego w dzienniku zdarzeń CAPI2 często są wyświetlane następujące komunikaty o błędach:

  • Błąd łańcucha kompilacji

    Identyfikator zdarzenia: 11
    Kategoria zadania: Łańcuch kompilacji
    subjectName (pobrane ze szczegółów zdarzenia): usługa tokenu zabezpieczającego programu SharePoint

  • Pobieranie obiektu z błędu sieci

    Identyfikator zdarzenia: 53
    Kategoria zadania: pobieranie obiektu z sieci

    Adres URL (pobrany ze szczegółów zdarzenia): https://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

Aby uzyskać informacje na temat włączania rejestrowania CAPI2, zapoznaj się z sekcją "Więcej informacji".

Rozwiązanie

Aby rozwiązać ten problem, wykonaj jedno z następujących obejść:

Obejście 1

Zainstaluj certyfikat urzędu głównego programu SharePoint w magazynie zaufanych głównych urzędów certyfikacji. Po dodaniu certyfikatu głównego do lokalnego magazynu certyfikatów weryfikacja certyfikatu nie jest już wykonywana przez Internet. Poniższe kroki spowodują powodzenie kompilacji przez znalezienie certyfikatu w magazynie lokalnym, co eliminuje konieczność pobierania obiektu z sieci. Aby dodać certyfikat główny do lokalnego magazynu certyfikatów, należy wykonać następujące kroki na każdym serwerze programu SharePoint w farmie:

  1. Wyeksportuj certyfikat urzędu głównego programu SharePoint jako plik fizyczny (.cer). Uruchom powłokę zarządzania programu SharePoint 2010 jako administrator, a następnie uruchom następujące polecenia Windows PowerShell:

    $rootCert = (Get-SPCertificateAuthority).RootCertificate   
$rootCert.Export("Cert") | Set-Content C:\SharePointRootAuthority.cer -Encoding byte

    Uwaga Spowoduje to wyeksportowanie wewnętrznego certyfikatu głównego (pliku .cer) dla programu SharePoint do dysku C. Ten plik można skopiować i użyć na wszystkich serwerach w farmie do zaimportowania bez konieczności ponownego uruchamiania poleceń programu PowerShell.

  2. Zaimportuj certyfikat urzędu głównego programu SharePoint do magazynu zaufanych głównych urzędów certyfikacji. Aby dodać certyfikat urzędu głównego programu SharePoint do magazynu zaufanych głównych urzędów certyfikacji, wykonaj następujące kroki:

    Uwaga "Administratorzy" to minimalna wymagana członkostwo w grupie w celu wykonania tych kroków.

    1. Naciśnij lub kliknij przycisk Start, wpisz mmc w polu Rozpocznij wyszukiwanie, a następnie naciśnij klawisz Enter.
    2. W menu Plik kliknij polecenie Dodaj/Usuń przystawkę.
    3. W obszarze Dostępne przystawki kliknij pozycję Certyfikaty, a następnie kliknij pozycję Dodaj.
    4. W obszarze Ta przystawka zawsze będzie zarządzać certyfikatami, wybierz pozycję Konto komputera, a następnie kliknij przycisk Dalej.
    5. Wybierz pozycję Komputer lokalny, a następnie kliknij przycisk Zakończ.
    6. Jeśli nie masz więcej przystawek do dodania do konsoli, kliknij przycisk OK.
    7. W drzewie konsoli kliknij dwukrotnie pozycję Certyfikaty.
    8. Kliknij prawym przyciskiem myszy magazyn Zaufane główne urzędy certyfikacji.
    9. Kliknij pozycję Wszystkie zadania, kliknij pozycję Importuj , aby zaimportować certyfikat, a następnie wykonaj kroki opisane w Kreatorze importowania certyfikatów.

Obejście 2

Wyłącz automatyczną aktualizację certyfikatów głównych na serwerach programu SharePoint. Aby to zrobić, wykonaj następujące kroki.

  1. W węźle Konfiguracja komputera w zasady grupy Redaktor lokalnym kliknij dwukrotnie pozycję Zasady.
  2. Kliknij dwukrotnie pozycję Ustawienia systemu Windows, kliknij dwukrotnie pozycję Ustawienia zabezpieczeń, a następnie kliknij dwukrotnie pozycję Zasady klucza publicznego.
  3. W okienku Szczegóły kliknij dwukrotnie pozycję Ustawienia weryfikacji ścieżki certyfikatu.
  4. Kliknij kartę Pobieranie sieci, zaznacz pole wyboru Zdefiniuj te ustawienia zasad, a następnie wyczyść pole wyboru Automatycznie aktualizuj certyfikaty w programie Microsoft Root Certificate Program (zalecane).
  5. Kliknij przycisk OK, a następnie zamknij zasady grupy Redaktor lokalny.
  6. Uruchom polecenie gpupdate/force, aby zasady zostały zastosowane natychmiast.

Uwaga Po wyłączeniu automatycznej aktualizacji może być konieczne monitorowanie pod kątem nowych wersji, a następnie ręczne aktualizowanie zaufania certyfikatu zgodnie z potrzebami.

Implikacje wyłączenia automatycznych aktualizacji certyfikatów głównych

Program SharePoint nie powinien mieć konkretnych konsekwencji, ponieważ korzystamy z certyfikatów z podpisem własnym i sami nimi zarządzamy. Certyfikaty programu SharePoint wygasają, ale istnieje reguła kondycji, która obserwuje to, a następnie ostrzega administratora o ich aktualizacji lub ponownym wdrożeniu.

Głównym aspektem, który należy wziąć pod uwagę, są inne certyfikaty, które są używane na komputerze (na przykład certyfikaty SSL, certyfikaty zaufania do pobierania pakietów lub zasad SAFER itd.), które są wystawiane z certyfikatów połączonych z certyfikatami w magazynie zaufanych głównych urzędów certyfikacji.

Więcej informacji

Włączanie i zapisywanie dziennika CAPI2 w interfejsie użytkownika Podgląd zdarzeń

  1. Otwórz podgląd zdarzeń. Aby otworzyć Podgląd zdarzeń, kliknij przycisk Start, kliknij pozycję Panel sterowania, kliknij dwukrotnie pozycję Narzędzia administracyjne, a następnie kliknij dwukrotnie Podgląd zdarzeń.
  2. Jeśli zostanie wyświetlone okno dialogowe Kontrola konta użytkownika , upewnij się, że wyświetlana akcja jest wykonywana, a następnie kliknij przycisk Kontynuuj.
  3. W okienku Konsola rozwiń węzeł Podgląd zdarzeń, rozwiń węzeł Dzienniki aplikacji i usług, rozwiń węzeł Microsoft, rozwiń węzeł Windows, a następnie rozwiń węzeł CAPI2.
  4. Teraz możesz wykonać następujące akcje:

    • Aby włączyć rejestrowanie CAPI2, kliknij prawym przyciskiem myszy pozycję Operacje, a następnie wybierz pozycję Włącz dziennik.

    • Aby zapisać dziennik w pliku, kliknij prawym przyciskiem myszy pozycję Operacje, a następnie wybierz pozycję Zapisz zdarzenia jako. Plik dziennika można zapisać w formacie EVTX (który można otworzyć za pośrednictwem Podgląd zdarzeń) lub w formacie XML.

    • Aby wyłączyć rejestrowanie CAPI2, kliknij prawym przyciskiem myszy pozycję Operacje, a następnie wybierz pozycję Wyłącz dziennik.

    • Jeśli w dzienniku znajdują się dane przed próbą odtworzenia problemu, zalecamy wyczyszczanie dziennika. Dzięki temu z zapisanego dziennika będą zbierane tylko dane istotne dla scenariusza problemu. Aby wyczyścić dziennik, kliknij prawym przyciskiem myszy pozycję Operacje, a następnie wybierz pozycję Wyczyść dziennik.

    • W przypadku diagnostyki CAPI2 dziennik może szybko zwiększyć rozmiar i zalecamy zwiększenie rozmiaru dziennika do co najmniej 4 megabajtów (MB) w celu przechwycenia odpowiednich zdarzeń. Aby zwiększyć rozmiar dziennika, kliknij prawym przyciskiem myszy pozycję Operacje, a następnie wybierz pozycję Właściwości. We właściwościach dziennika zwiększ maksymalny rozmiar dziennika.

      Uwaga Domyślny rozmiar dziennika zdarzeń to 1 MB.

Nadal potrzebujesz pomocy? Przejdź do witryny SharePoint Community.