Konfigurieren von TLS-Verbindungen auf einem Berichtsserver im einheitlichen Modus

  • Artikel

Gilt für: SQL Server 2016 (13.x) Reporting Services und höher Power BI-Berichtsserver

Reporting Services (einheitlicher Modus) verwenden den HTTP-SSL-Dienst (Secure Sockets Layer), um verschlüsselte Verbindungen zu einem Berichtsserver herzustellen. Transport Layer Security (TLS) wurde früher als Secure Sockets Layer (SSL) bezeichnet. Wenn Sie eine CER-Zertifikatdatei im lokalen Zertifikatspeicher des Berichtsservercomputers installiert haben, können Sie das Zertifikat an eine Reporting Services-URL-Reservierung binden, um Berichtsserververbindungen über einen verschlüsselten Kanal zu unterstützen.

Tipp

Weitere Informationen zum SharePoint-Modus von Reporting Services finden Sie in der SharePoint-Dokumentation. Zum Beispiel: Aktivieren von TLS für eine SharePoint 2010-Webanwendung.

Da Internetinformationsdienste (IIS) auch HTTP-SSL verwenden, treten signifikante Interoperabilitätsprobleme auf, die berücksichtigt werden müssen, wenn IIS und Reporting Services auf demselben Computer ausgeführt werden. Überprüfen Sie im Abschnitt "Interoperabilitätsprobleme mit IIS", wie Sie diese Probleme beheben können.

Anforderungen für Serverzertifikate

Auf Ihrem Computer muss ein Serverzertifikat installiert sein (Clientzertifikate werden nicht unterstützt). Reporting Services bietet keine Funktionalität für das Anfordern, Generieren, Herunterladen oder Installieren von Zertifikaten. Windows Server 2012 und höhere Versionen bieten ein Zertifikate-Snap-In, mit dem Sie ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle anfordern können.

Für Testzwecke können Sie ein Zertifikat lokal generieren. Wenn Sie das Hilfsprogramm MakeCert und den Beispielbefehl als Vorlage verwenden, geben Sie Ihren Servernamen als Host an, und entfernen Sie alle Zeilenumbrüche, bevor Sie den Befehl ausführen. Wenn Sie den Befehl in einem DOS-Fenster ausführen, müssen Sie die Puffergröße des Fensters erhöhen, damit der gesamte Befehl aufgenommen werden kann.

Wenn Sie IIS und Reporting Services zusammen auf demselben Computer ausführen, können Sie mit der Konsolenanwendung IIS-Manager das auf Ihrem Computer installierte Zertifikat abrufen. IIS-Manager enthält Optionen, mit denen Sie eine Zertifikatanforderungsdatei (CRT-Datei) erstellen und in ein Paket integrieren können, sodass sie nachfolgend von einer vertrauenswürdigen Zertifizierungsstelle verarbeitet werden kann. Die von Ihnen verwendete Zertifizierungsstelle generiert eine Zertifikatsdatei (CER-Datei), die sie an Sie zurücksendet. Über die IIS-Verwaltungskonsole können Sie die Zertifikatsdatei im lokalen Speicher installieren. Weitere Informationen finden Sie unter Using SSL to Encrypt Confidential Data auf der TechNet-Website.

Interoperabilitätsprobleme mit IIS

Wenn IIS auf demselben Computer wie Reporting Services ausgeführt wird, wirkt sich dies merklich auf die TLS-Verbindungen zu einem Berichtsserver aus:

  • Wenn IIS installiert ist, muss der World Wide Web-(W3SVC)-Dienst immer ausgeführt werden. Der HTTP-SSL-Dienst stellt eine Abhängigkeit zu IIS her, wenn er erkennt, dass IIS ausgeführt wird. Diese Abhängigkeit bedeutet, dass der World Wide Web-Dienst (W3SVC) ausgeführt werden muss, wenn IIS und Reporting Services auf demselben Computer installiert sind und Sie Berichtsserver-URLs für TLS-Verbindungen konfigurieren.

  • Durch das Deinstallieren von IIS kann der Dienst zu einer TLS-gebundenen Berichtsserver-URL vorübergehend unterbrochen werden. Aus diesem Grund sollten Sie den Computer neu starten, nachdem Sie IIS deinstalliert haben.

    Ein Neustart des Computers ist notwendig, um alle TLS-Sitzungen aus dem Cache zu löschen. Einige Betriebssysteme speichern TLS-Sitzungen bis zu 10 Stunden im Cache. Aus diesem Grund funktioniert eine https://-URL auch, nachdem die TLSL-Bindung in HTTP.SYS aus der URL-Reservierung entfernt wurde. Durch den Neustart des Computers werden alle offenen Verbindungen, die den Kanal verwenden, geschlossen.

Binden von TLS an eine URL-Reservierung für Reporting Services

In den folgenden Schritten wird nicht erläutert, wie Sie Zertifikate anfordern, generieren, herunterladen oder installieren. Sie müssen bereits ein Zertifakt installiert haben, das verwendet werden kann. Es bleibt Ihnen überlassen, welche Zertifikatseigenschaften Sie angeben, welche Zertifizierungsstelle Sie verwenden und mit welchen Tools und Hilfsprogrammen Sie das Zertifikat anfordern und installieren.

Sie können das Konfigurationstool für Reporting Services verwenden, um das Zertifikat zu binden. Wenn das Zertifikat im lokalen Computerspeicher korrekt installiert ist, wird es vom Reporting Services-Konfigurationstool erkannt und in der Liste SSL-Zertifikate auf den Seiten Webdienst-URL und Webportal-URL angezeigt.

Konfigurieren einer Berichtsserver-URL für TLS

  1. Starten Sie das Reporting Services-Konfigurationstool, und stellen Sie eine Verbindung mit dem Berichtsserver her.

  2. Klicken Sie auf Webdienst-URL.

  3. Erweitern Sie die Liste der TLS/SSL-Zertifikate. Reporting Services erkennt Zertifikate zur Serverauthentifizierung im lokalen Speicher. Wenn Sie ein Zertifikat installiert haben, das in der Liste nicht angezeigt wird, müssen Sie den Dienst eventuell neu starten. Verwenden Sie die Schaltflächen Stopp und Start auf der Seite Berichtsserverstatus im Konfigurationstool für die Reporting Services, um den Dienst neu zu starten (oberste Seite).

  4. Wählen Sie das Zertifikat aus.

  5. Wählen Sie Übernehmen.

  6. Wählen Sie die URL aus, um zu überprüfen, ob sie funktioniert.

Damit Sie die URL testen können, muss die Berichtsserverdatenbank konfiguriert sein. Erstellen Sie gegebenenfalls die Berichtsserverdatenbank, bevor Sie die URL testen.

URL-Reservierungen für die Webportal-URL und die Berichtsserver-Webdienst-URL werden unabhängig voneinander konfiguriert. Wenn Sie auch den Webportalzugriff über einen TLS-verschlüsselten Kanal konfigurieren möchten, fahren Sie mit den folgenden Schritten fort:

  1. Greifen Sie auf die Webportal-URL zu.

  2. Wählen Sie Erweitertaus.

  3. Klicken Sie unter Mehrere HTTPS-Identitäten für das aktuell ausgewählte Reporting Services-Feature auf Hinzufügen.

  4. Wählen Sie das Zertifikat, OK dann und Anwenden aus.

  5. Testen Sie die URL, um zu überprüfen, ob sie funktioniert.

Speichern von Zertifikatbindungen

Zertifikatsbindungen werden in HTTP.SYS gespeichert. Eine Darstellung der definierten Bindungen wird auch im Abschnitt URLReservations der Datei RSReportServer.config gespeichert. Die Einstellungen in der Konfigurationsdatei sind nur eine Darstellung der tatsächlichen, an anderer Stelle gespeicherten Werte. Ändern Sie die Werte in der Konfigurationsdatei nicht direkt. Die Konfigurationseinstellungen werden in der Datei erst angezeigt, wenn Sie das Reporting Services-Konfigurationstool oder den Berichtsserver-WMI-Anbieter (Windows Management Instrumentation, Windows-Verwaltungsinstrumentation) verwenden, um ein Zertifikat zu binden.

Hinweis

Wenn Sie eine Bindung mit einem TLS/SSL-Zertifikat in den Reporting Services konfigurieren und das Zertifikat später vom Computer entfernen möchten, müssen Sie die Bindung aus den Reporting Services entfernen, bevor Sie das Zertifikat vom Computer entfernen. Anderenfalls können Sie die Bindung mit dem Reporting Services -Konfigurationstool oder WMI nicht mehr entfernen, und die Fehlermeldung „Ungültiger Parameter“ wird angezeigt. Wenn Sie das Zertifikat bereits vom Computer entfernt haben, können Sie das Tool Httpcfg.exe verwenden, um die Bindung aus HTTP.SYS zu entfernen. Weitere Informationen zu Httpcfg.exe finden Sie in der Windows-Produktdokumentation.

TLS-Bindungen stellen in Microsoft Windows eine freigegebene Ressource dar. Die vom Konfigurations-Manager für Reporting Services oder anderen Tools wie IIS-Manager vorgenommenen Änderungen können sich auf andere Anwendungen auf demselben Computer auswirken. Es empfiehlt sich, zum Bearbeiten von Bindungen dasselbe Tool zu verwenden, mit dem Sie die Bindungen erstellt haben. Wenn Sie beispielsweise TLS-Bindungen mit dem Konfigurations-Manager erstellt haben, sollten Sie den Lebenszyklus der Bindungen mit dem Konfigurations-Manager verwalten. Wenn Sie Bindungen mit dem IIS-Manager erstellt haben, sollten Sie den Lebenszyklus der Bindungen mit dem IIS-Manager verwalten. Wenn IIS vor Reporting Services auf dem Computer installiert wurde, sollten Sie die TLS-Konfiguration in IIS überprüfen, bevor Sie Reporting Services konfigurieren.

Wenn Sie TLS-Bindungen für Reporting Services mithilfe des Konfigurations-Managers für Berichtsserver entfernen, funktioniert TLS möglicherweise nicht mehr für Websites auf einem Server, auf dem IIS (Internetinformationsdienste) ausgeführt wird, oder auf einem anderen HTTP.SYS-Server. Der Konfigurations-Manager für Reporting Services entfernt den folgenden Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo\0.0.0.0:443. Wenn dieser Registrierungsschlüssel entfernt wird, wird die TLS-Bindung für IIS ebenfalls entfernt. Ohne diese Bindung wird TLS nicht für das HTTPS-Protokoll bereitgestellt. Um dieses Problem zu diagnostizieren, verwenden Sie den IIS-Manager oder das Befehlszeilen-Hilfsprogramm „HTTPCFG.exe“. Um das Problem zu lösen, stellen Sie die TLS-Bindung für Ihre Websites mithilfe des IIS-Managers wieder her. Um dieses Problem in Zukunft zu vermeiden, verwenden Sie den IIS-Manager, um die TLS-Bindungen zu entfernen und dann die Bindung für die gewünschten Websites wiederherzustellen. Weitere Informationen finden Sie im Knowledge Base-Artikel SSL funktioniert nach dem Entfernen einer SSL-Bindung nicht mehr (https://support.microsoft.com/kb/956209/n)).

Zugehöriger Inhalt

Authentifizierung mit dem Berichtsserver
Konfigurieren und Verwalten eines Berichtsservers (nativer SSRS-Modus)
RsReportServer.config-Konfigurationsdatei
Konfigurieren von Berichtsserver-URLs (Configuration Manager für Berichtsserver)