Медленная работа сайта из-за проверки списка отзыва сертификатов службы маркеров безопасности SharePoint

  • Статья
  • Применяется к:
    SharePoint Foundation 2010, SharePoint Server 2010

Симптомы

Предположим, что у вас есть веб-приложение, использующее проверку подлинности на основе утверждений в SharePoint Foundation 2010 или SharePoint Server 2010. Сервер SharePoint не имеет доступа к Интернету, или сервер защищен брандмауэром с ограниченным количеством открытых портов. В этой ситуации пользователи периодически происходят с длительными задержками при выполнении определенных операций, таких как вход на сайт или выполнение поиска. Пользователи также могут столкнуться с временем ожидания HTTP при выполнении этих операций.

Причина

SharePoint использует сертификаты для подписи маркеров безопасности, выданных службой маркеров безопасности (STS). Как и все сертификаты, срок действия сертификата STS необходимо периодически проверять, чтобы убедиться, что сертификат не был отозван. По умолчанию корневой сертификат в цепочке не добавляется в хранилище доверенных корневых центров сертификации серверов SharePoint. По этой причине проверка списка отзыва сертификатов (CRL) для сертификата выполняется через Интернет. Если сервер списка отзыва сертификатов в сети по какой-либо причине не удается подключиться с сервера SharePoint, по умолчанию время ожидания операции истекает через 15 секунд. Даже если проверка списка отзыва сертификатов завершается сбоем через 15 секунд, страница SharePoint может по-прежнему отображаться после задержки.

Сбои проверки сертификатов можно отслеживать, включив ведение журнала событий CAPI2 на сервере SharePoint. Если ведение журнала событий CAPI2 включено и проверка сертификата Интернета завершается сбоем, в журнале событий CAPI2 часто отображаются следующие сообщения об ошибках:

  • Ошибка цепочки сборки

    Идентификатор события: 11
    Категория задач: цепочка сборки
    subjectName (взято из сведений о событии): служба маркеров безопасности SharePoint

  • Получение объекта из ошибки сети

    Идентификатор события: 53
    Категория задач: извлечение объекта из сети

    URL-адрес (взят из сведений о событии): https://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

Дополнительные сведения о включении ведения журнала CAPI2 см. в разделе "Дополнительные сведения".

Решение

Чтобы устранить эту проблему, выполните одно из следующих обходных решений:

Обходное решение 1

Установите сертификат корневого центра SharePoint в хранилище доверенных корневых центров сертификации. После добавления корневого сертификата в локальное хранилище сертификатов проверка сертификата больше не выполняется через Интернет. Приведенные ниже действия приведут к успешному выполнению buildChain путем поиска сертификата в локальном хранилище, что устраняет необходимость в извлечении объекта из сети. Чтобы добавить корневой сертификат в локальное хранилище сертификатов, на каждом сервере SharePoint в ферме необходимо выполнить следующие действия:

  1. Экспортируйте сертификат корневого центра SharePoint в виде физического (CER) файла. Запустите командную консоль SharePoint 2010 от имени администратора, а затем выполните следующие Windows PowerShell команды:

    $rootCert = (Get-SPCertificateAuthority).RootCertificate   
$rootCert.Export("Cert") | Set-Content C:\SharePointRootAuthority.cer -Encoding byte

    Примечание При этом будет экспортироваться внутренний корневой сертификат (CER-файл) для SharePoint на диск C. Этот файл можно скопировать и использовать на всех серверах фермы для импорта без повторного выполнения команд PowerShell.

  2. Импортируйте сертификат корневого центра SharePoint в хранилище доверенных корневых центров сертификации. Чтобы добавить сертификат корневого центра SharePoint в хранилище доверенных корневых центров сертификации, выполните следующие действия.

    Примечание "Администраторы" — это минимально необходимое членство в группе для выполнения этих действий.

    1. Нажмите кнопку "Пуск", введите mmc в поле "Пуск поиска" и нажмите клавишу ВВОД.
    2. В меню Файл щелкните Добавить или удалить оснастку.
    3. В разделе "Доступные оснастки" щелкните " Сертификаты" и нажмите кнопку " Добавить".
    4. В этой оснастке всегда будет управлять сертификатами, выберите учетную запись компьютера и нажмите кнопку "Далее".
    5. Выберите локальный компьютер и нажмите кнопку "Готово".
    6. Если в консоль больше нет оснастки, нажмите кнопку " ОК".
    7. В дереве консоли дважды щелкните " Сертификаты".
    8. Щелкните правой кнопкой мыши хранилище доверенных корневых центров сертификации.
    9. Щелкните "Все задачи", нажмите кнопку "Импорт", чтобы импортировать сертификат, а затем выполните действия, описанные в мастере импорта сертификатов.

Обходное решение 2

Отключите автоматическое обновление корневых сертификатов на серверах SharePoint Server. Для этого выполните следующие действия:

  1. В узле "Конфигурация компьютера" групповая политика редакторе локальных приложений дважды щелкните "Политики".
  2. Дважды щелкните "Параметры Windows", дважды щелкните "Параметры безопасности", а затем дважды щелкните "Политики открытого ключа".
  3. В области сведений дважды щелкните параметры проверки пути сертификата.
  4. Перейдите на вкладку "Извлечение сети", установите флажок "Определить эти параметры политики", а затем снимите флажок "Автоматически обновлять сертификаты" в программе корневых сертификатов Майкрософт (рекомендуется).
  5. Нажмите кнопку "ОК" и закройте редактор локальных групповая политика.
  6. Выполните команду gpupdate/force, чтобы политика вступает в силу немедленно.

Примечание Если автоматическое обновление отключено, может потребоваться отслеживать новые выпуски, а затем вручную обновлять доверие сертификата по мере необходимости.

Последствия отключения автоматического обновления корневого сертификата

Не должно быть конкретных последствий для SharePoint, так как мы используем самозаверяющие сертификаты и самостоятельно ими управляете. Срок действия сертификатов SharePoint истекает, но существует правило работоспособности, которое отслеживает это, а затем предупреждает администратора об их обновлении или повторном выпуске.

Основной аспект, который следует учитывать, — для других сертификатов, используемых на компьютере (например, SSL-сертификатов, сертификатов для доверия пакетам скачивания или для политики SAFER и т. д.), которые выданы из сертификатов, связанных с сертификатами в хранилище доверенных корневых центров сертификации.

Дополнительная информация

Включение и сохранение журнала CAPI2 из Просмотр событий пользовательского интерфейса

  1. Откройте окно просмотра событий. Чтобы открыть окно просмотра событий, нажмите кнопку Пуск, выберите пункт Панель управления, дважды щелкните значок Администрирование, а затем дважды щелкните значок Просмотр событий.
  2. Если появится диалоговое окно "Контроль учетных записей", убедитесь, что отображаемое действие нужно выполнить, и нажмите кнопку "Продолжить".
  3. В области консоли разверните узел Просмотр событий, разверните журналы приложений и служб, разверните microsoft, разверните Windows, а затем разверните CAPI2.
  4. Теперь можно выполнить следующие действия:

    • Чтобы включить ведение журнала CAPI2, щелкните правой кнопкой мыши "Операционный", а затем выберите " Включить журнал".

    • Чтобы сохранить журнал в файл, щелкните правой кнопкой мыши "Операционная", а затем выберите "Сохранить события как". Файл журнала можно сохранить в формате EVTX (который можно открыть Просмотр событий) или в формате XML.

    • Чтобы отключить ведение журнала CAPI2, щелкните правой кнопкой мыши "Операционный ", а затем выберите "Отключить журнал".

    • Если в журнале есть данные, прежде чем пытаться воспроизвести проблему, рекомендуется очистить журнал. Это позволяет собирать только данные, относящиеся к проблемному сценарию, из сохраненного журнала. Чтобы очистить журнал, щелкните правой кнопкой мыши "Операционный", а затем выберите " Очистить журнал".

    • Для диагностики CAPI2 размер журнала может быстро увеличиваться, и мы рекомендуем увеличить размер журнала по крайней мере до 4 мегабайт (МБ) для записи соответствующих событий. Чтобы увеличить размер журнала, щелкните правой кнопкой мыши "Операционный" и выберите пункт "Свойства". В свойствах журнала увеличьте максимальный размер журнала.

      Примечание Размер журнала событий по умолчанию — 1 МБ.

Требуется дополнительная помощь? Посетите сайт сообщества SharePoint.