Поделиться через


Настройка соединений SSL для сервера отчетов, работающего в собственном режиме

В собственном режиме служб Службы Reporting Services используется HTTP-служба протокола SSL для установления зашифрованного соединения с сервером отчетов. Если в локальном хранилище сертификатов на компьютере сервера отчетов установлен CER-файл сертификата, можно связать его с резервированием URL-адресов служб Службы Reporting Services для поддержки соединений сервера отчетов через зашифрованный канал.

СоветСовет

Если используется режим интеграции служб Службы Reporting Services с SharePoint, см. дополнительные сведения в документации по SharePoint. Например, Включение протокола SSL для веб-приложения SharePoint 2010 (https://blogs.msdn.com/b/sowmyancs/archive/2010/02/12/how-to-enable-ssl-on-a-sharepoint-web-application.aspx).

Поскольку службы IIS также используют HTTP-службу SSL, возникает ряд важных проблем взаимодействия, которые необходимо учитывать при запуске служб IIS и служб Службы Reporting Services на одном компьютере. Ознакомьтесь с разделом «Проблемы взаимодействия со службами IIS», где приводятся рекомендации по решению данных проблем.

Требования к сертификату сервера

Сертификат сервера должен быть установлен на компьютере (клиентские сертификаты не поддерживаются). Службы Reporting Services не содержат функций запроса, формирования, загрузки или установки сертификата. Windows Server 2003 предоставляет оснастку «Сертификаты», с помощью которой можно запрашивать сертификаты из надежного центра сертификации.

Для тестовых целей можно сформировать локальный сертификат. Если используется программа MakeCert и образец команды в качестве шаблона, то перед выполнением команды задайте в качестве узла имя сервера и удалите все переводы строк. Если команда выполняется в DOS-окне, то может понадобиться увеличить размер оконного буфера, чтобы в него вошла вся команда.

Если службы IIS и Службы Reporting Services работают вместе на одном компьютере, для установки сертификата на компьютер можно использовать консольное приложение IIS Manager. Службы IIS Manager включают возможности создания и упаковки запроса файла сертификата (CRT) для последующей обработки надежным центром сертификации. Центр сертификации создаст файл сертификата (CER) и вышлет его обратно. Установку файла сертификата в локальное хранилище можно выполнить при помощи консоли управления службами IIS. Дополнительные сведения см. в разделе Использование SSL для шифрования конфиденциальных данных на веб-узле TechNet.

Проблемы взаимодействия со службами IIS

Присутствие на одном компьютере служб IIS и служб Службы Reporting Services оказывает значительное влияние на SSL-соединения с сервером отчетов.

  • Если установлены службы IIS, то должна быть постоянно запущена служба W3SVC. HTTP-служба SSL создает зависимость от служб IIS, если обнаружит, что они запущены. Это означает, что если службы IIS и Службы Reporting Services установлены на одном компьютере и URL-адреса серверов отчетов настроены на SSL-соединения, то должна быть запущена служба W3SVC.

  • Удаление службы IIS может нарушить работу службы по привязанному к SSL-соединению URL-адресу сервера отчетов. По этой причине настоятельно рекомендуется после удаления служб IIS перезапустить компьютер.

    Это необходимо, чтобы удалить из кэша все SSL-сеансы. В некоторых операционных системах время кэширования SSL-сеансов составляет до 10 часов, в результате чего URL-адрес https:// продолжает работать даже после удаления привязки SSL из резервирования URL-адресов в компоненте HTTP.SYS. Перезагрузка компьютера позволит закрыть все открытые соединения, использующие этот канал.

Привязка SSL к резервированию URL-адресов служб Reporting Services

Следующие шаги не содержат инструкций для запроса формирования, загрузки или установки сертификата. Сертификат должен быть установлен и доступен для использования. Главное, что при этом требуется, — правильно задать свойства сертификата, получить его из центра сертификации и пользоваться средствами и программами для запроса и установки сертификата.

Привязку сертификата можно выполнить при помощи программы настройки служб Службы Reporting Services. Если сертификат правильно установлен в хранилище локального компьютера, то программа настройки служб Службы Reporting Services обнаружит его и отобразит в списке Сертификаты SSL на страницах URL-адрес веб-службы и URL-адрес диспетчера отчетов.

Настройка URL-адреса сервера отчетов для SSL

  1. Запустите программу настройки служб Reporting Services и подключитесь к серверу отчетов.

  2. Щелкните URL-адрес веб-службы.

  3. Разверните список SSL-сертификатов. Службы Службы Reporting Services производят в локальном хранилище поиск сертификатов проверки подлинности сервера. Если сертификат установлен, но его нет в списке, то может понадобиться перезапустить службу. Это можно сделать при помощи кнопок Стоп и Пуск на странице Состояние сервера отчетов в программе настройки служб Reporting Services.

  4. Выберите сертификат.

  5. Нажмите кнопку Применить.

  6. Щелкните URL-адрес, чтобы проверить работоспособность.

Для тестирования URL-адреса необходима настройка базы данных сервера отчетов. Если база данных сервера отчетов еще не создана, то это необходимо сделать до начала тестирования URL-адреса.

Резервирования URL-адресов для диспетчера отчетов и веб-службы сервера отчетов настраиваются независимо. Если нужно также настроить доступ к диспетчеру отчетов через канал с SSL-шифрованием, выполните следующие шаги.

  1. Нажмите кнопку URL-адрес диспетчера отчетов.

  2. Щелкните Дополнительно.

  3. В разделе Несколько удостоверений SSL для диспетчера отчетов нажмите Добавить.

  4. Выберите сертификат, нажмите кнопку ОК, а затем кнопку Применить.

  5. Щелкните URL-адрес, чтобы проверить работоспособность.

Хранение привязок к сертификату

Привязки к сертификату хранятся в файле HTTP.SYS. Представление определенных пользователем привязок также сохраняется в разделе URLReservations файла RSReportServer.config. Настройки в файле конфигурации являются только представлением фактических значений, указанных в другом месте. Изменять значения непосредственно в файле конфигурации нельзя. Параметры настройки появятся в файле только в результате использования программы настройки служб Службы Reporting Services или поставщика инструментария управления Windows (WMI) для привязки сертификата.

ПримечаниеПримечание

Если настройка привязки выполняется при помощи SSL-сертификата в службах Службы Reporting Services, а в дальнейшем потребуется удалить сертификат из компьютера, обеспечьте удаление привязки из служб Службы Reporting Services перед удалением сертификата из компьютера. В противном случае будет невозможно удалить привязку при помощи программы настройки служб Службы Reporting Services или WMI и появится уведомление об ошибке «Недопустимый параметр». Если сертификат уже удален из компьютера, можно использовать средство Httpcfg.exe для удаления привязки из компонента HTTP.SYS. Дополнительные сведения о Httpcfg.exe см. в документации по продукту Windows.

Привязки SSL являются общими ресурсами в Microsoft Windows. Изменения, проведенные в диспетчере конфигурации служб Службы Reporting Services или других программах наподобие диспетчера IIS, могут отразиться на работе других приложений, работающих на этом же компьютере. Рекомендуется пользоваться для изменения привязок тем же средством, которое использовалось для их создания. Например, если создание привязок SSL производилось в диспетчере конфигурации, то рекомендуется работать с ними в той же программе в течение всего срока их службы. Если же для создания привязок использовался диспетчер IIS, то рекомендуется и все дальнейшие операции с этими привязками выполнять также с помощью диспетчера IIS. Если службы IIS установлены на компьютере до установки служб Службы Reporting Services, рекомендуется проверить конфигурацию SSL в IIS перед настройкой служб Службы Reporting Services.

Если удаление привязок SSL для служб Службы Reporting Services выполняется с помощью диспетчера конфигурации служб Reporting Services, то может перестать работать SSL для веб-сайтов на сервере, где работают службы IIS, или на другом сервере HTTP.SYS. Службы Reporting Services Диспетчер конфигурации удаляет следующий раздел реестра. Если этот раздел реестра удаляется, привязка SSL для IIS также удаляется. Без этой привязки SSL для протокола HTTPS не поддерживается. Выполнить диагностику этой проблемы можно с помощью диспетчера IIS или программы HTTPCFG.exe. Чтобы решить эту проблему, восстановите привязку SSL для своих веб-сайтов с помощью диспетчера IIS. Чтобы предотвратить возникновение этой проблемы в будущем, с помощью диспетчера IIS удалите привязки SSL, а затем с помощью диспетчера IIS восстановите привязку для нужных веб-сайтов. Дополнительные сведения см. в статье базы знаний SSL перестает работать после удаления привязки SSL (https://support.microsoft.com/kb/956209/n).

См. также

Основные понятия

Проверка подлинности с использованием сервера отчетов

Настройка и администрирование сервера отчетов (режим SharePoint служб Reporting Services)

Файл конфигурации RSReportServer

Настройка URL-адресов сервера отчетов

Другие ресурсы

How to: Start Reporting Services Configuration Manager