Поделиться через

Настройка соединений SSL для сервера отчетов, работающего в собственном режиме

  • Статья

Основной режим служб Reporting Services использует для установки зашифрованных подключений к серверу отчетов службу HTTP SSL. Если в локальном хранилище сертификатов на компьютере сервера отчетов установлен файл сертификата (.cer), можно привязать сертификат к резервированию URL-адреса служб отчетности, чтобы обеспечить поддержку соединений сервера отчетов по зашифрованному каналу.

Совет

Если используется режим интеграции служб Reporting Services с SharePoint, см. дополнительные сведения в документации по SharePoint. Например, руководство по включению SSL в веб-приложении SharePoint 2010 (https://docs.microsoft.com/archive/blogs/sowmyancs/how-to-enable-ssl-on-a-sharepoint-2010-web-application).

Поскольку службы IIS также используют HTTP-службу SSL, возникает ряд важных проблем взаимодействия, которые необходимо учитывать при запуске служб IIS и служб Reporting Services на одном компьютере. Ознакомьтесь с разделом «Проблемы взаимодействия со службами IIS», где приводятся рекомендации по решению данных проблем.

Требования к сертификату сервера

Сертификат сервера должен быть установлен на компьютере (клиентские сертификаты не поддерживаются). Службы Reporting Services не содержат функций запроса, формирования, загрузки или установки сертификата. Windows Server 2003 предоставляет оснастку "Сертификаты", которую можно использовать для запроса сертификата из доверенного центра сертификации.

Для тестовых целей можно сформировать локальный сертификат. Если используется программа MakeCert и пример команды в качестве шаблона, то перед выполнением команды задайте в качестве узла имя сервера и удалите все разрывы строки. Если команда выполняется в DOS-окне, то может понадобиться увеличить размер оконного буфера, чтобы в него вошла вся команда.

Если службы IIS и Reporting Services работают вместе на одном компьютере, для установки сертификата на компьютер можно использовать консольное приложение "Диспетчер IIS". Оно включает возможности создания и упаковки запроса файла сертификата (CRT) для последующей обработки надежным центром сертификации. Центр сертификации создаст файл сертификата (CER) и вышлет его обратно. Установку файла сертификата в локальное хранилище можно выполнить при помощи консоли управления службами IIS. Дополнительные сведения см. в разделе Использование SSL для шифрования конфиденциальных данных на веб-узле TechNet.

Проблемы взаимодействия со службами IIS

Наличие служб IIS на том же компьютере, что и Reporting Services, значительно повлияет на SSL-подключения к серверу отчетов:

  • Если установлены службы IIS, то должна быть постоянно запущена служба W3SVC. HTTP-служба SSL создает зависимость от служб IIS, если обнаружит, что они запущены. Это означает, что служба W3SVC должна выполняться всякий раз, когда службы IIS и Reporting Services установлены на одном компьютере и настраиваются URL-адреса сервера отчетов для SSL-подключений.

  • Удаление службы IIS может нарушить работу службы по привязанному к SSL-соединению URL-адресу сервера отчетов. По этой причине настоятельно рекомендуется после удаления служб IIS перезапустить компьютер.

    Это необходимо, чтобы удалить из кэша все SSL-сеансы. В некоторых операционных системах время кэширования SSL-сеансов составляет до 10 часов, в результате чего URL-адрес https:// продолжает работать даже после удаления привязки SSL из резервирования URL-адресов в компоненте HTTP.SYS. Перезагрузка компьютера позволит закрыть все открытые соединения, использующие этот канал.

Привязка SSL к резервированию URL-адресов служб Reporting Services

Следующие шаги не содержат инструкций для запроса формирования, загрузки или установки сертификата. Сертификат должен быть установлен и доступен для использования. Главное, что при этом требуется, — правильно задать свойства сертификата, получить его из центра сертификации и пользоваться средствами и программами для запроса и установки сертификата.

Привязку сертификата можно выполнить при помощи программы настройки служб Reporting Services. Если сертификат правильно установлен в хранилище локального компьютера, средство настройки Reporting Services обнаружит его и отобразит в списке SSL-сертификаты на страницах URL-адрес веб-службы и URL-адрес диспетчера отчетов.

Настройка URL-адреса сервера отчетов для SSL

  1. Запустите программу настройки служб Reporting Services и подключитесь к серверу отчетов.

  2. Щелкните URL-адрес веб-службы.

  3. Разверните список SSL-сертификатов. Reporting Services производят в локальном хранилище поиск сертификатов проверки подлинности сервера. Если сертификат установлен, но его нет в списке, то может понадобиться перезапустить службу. Это можно сделать при помощи кнопок Стоп и Пуск на странице Состояние сервера отчетов в программе настройки служб Reporting Services.

  4. Выберите сертификат.

  5. Нажмите кнопку Применить.

  6. Щелкните URL-адрес, чтобы проверить работоспособность.

Для тестирования URL-адреса необходима настройка базы данных сервера отчетов. Если база данных сервера отчетов еще не создана, то это необходимо сделать до начала тестирования URL-адреса.

Резервирования URL-адресов для диспетчера отчетов и веб-службы сервера отчетов настраиваются независимо. Если нужно также настроить доступ к диспетчеру отчетов через канал с SSL-шифрованием, выполните следующие шаги.

  1. Нажмите кнопку URL-адрес диспетчера отчетов.

  2. Щелкните Дополнительно.

  3. В разделе Несколько удостоверений SSL для диспетчера отчетовнажмите Добавить.

  4. Выберите сертификат, нажмите кнопку ОК, а затем кнопку Применить.

  5. Щелкните URL-адрес, чтобы проверить работоспособность.

Хранение привязок к сертификату

Привязки к сертификату хранятся в файле HTTP.SYS. Представление определенных пользователем привязок также сохраняется в разделе URLReservations файла RSReportServer.config. Настройки в файле конфигурации являются только представлением фактических значений, указанных в другом месте. Изменять значения непосредственно в файле конфигурации нельзя. Параметры настройки появятся в файле только в результате использования программы настройки служб Reporting Services или поставщика инструментария управления Windows (WMI) для привязки сертификата.

Примечание

Если вы настроили привязку с SSL-сертификатом в Reporting Services, а затем захотите удалить сертификат с компьютера, обязательно удалите привязку из Reporting Services, прежде чем удалять сертификат с компьютера. В противном случае будет невозможно удалить привязку при помощи программы настройки служб Reporting Services или WMI и появится уведомление об ошибке «Недопустимый параметр». Если сертификат уже удален из компьютера, можно использовать средство Httpcfg.exe для удаления привязки из компонента HTTP.SYS. Дополнительные сведения о Httpcfg.exe см. в документации по продукту Windows.

Привязки SSL являются общими ресурсами в Microsoft Windows. Изменения, проведенные в диспетчере конфигурации служб Reporting Services или других программах наподобие диспетчера IIS, могут отразиться на работе других приложений, работающих на этом же компьютере. Рекомендуется пользоваться для изменения привязок тем же средством, которое использовалось для их создания. Например, если создание привязок SSL производилось в диспетчере конфигурации, то рекомендуется работать с ними в той же программе в течение всего срока их службы. Если же для создания привязок использовался диспетчер IIS, то рекомендуется и все дальнейшие операции с этими привязками выполнять также с помощью диспетчера IIS. Если службы IIS установлены на компьютере до установки Reporting Services, рекомендуется ознакомиться с конфигурацией SSL в IIS перед настройкой Reporting Services.

Если удалить привязки SSL для Reporting Services с помощью Reporting Services Configuration Manager, SSL может перестать работать для веб-сайтов на сервере, на котором выполняются службы IIS или на другом сервере HTTP.SYS. Reporting Services Configuration Manager удаляет следующий раздел реестра. Если этот раздел реестра удаляется, привязка SSL для IIS также удаляется. Без этой привязки SSL для протокола HTTPS не поддерживается. Выполнить диагностику этой проблемы можно с помощью диспетчера IIS или программы HTTPCFG.exe. Чтобы решить эту проблему, восстановите привязку SSL для своих веб-сайтов с помощью диспетчера IIS. Чтобы предотвратить возникновение этой проблемы в будущем, с помощью диспетчера IIS удалите привязки SSL, а затем с помощью диспетчера IIS восстановите привязку для нужных веб-сайтов. Дополнительные сведения см. в статье базы знаний SSL перестает работать после удаления привязки SSL (https://support.microsoft.com/kb/956209/n).

См. также:

Проверка подлинности с использованием сервера отчетов
Настройка и администрирование сервера отчетов (службы Reporting Services в собственном режиме)
RSReportServer Configuration File
Диспетчер конфигурации служб Reporting Services (del)
Настройка URL-адресов сервера отчетов (SSRS Configuration Manager)