• Article

Configuration d'un serveur de rapports pour des connexions SSL (Secure Sockets Layer)

Reporting Services utilise le service HTTP SSL (Secure Sockets Layer) pour définir des connexions chiffrées à un serveur de rapports. Si le fichier de certificat (.cer) est installé dans un magasin de certificats local sur le serveur de rapports, vous pouvez lier le certificat à une réservation d'URL Reporting Services pour prendre en charge des connexions de serveur de rapports sur un canal chiffré.

Comme les Services IIS (Internet Information Services) utilisent aussi HTTP SSL, cela entraîne des problèmes d'interopérabilité significatifs que vous devez connaître si vous exécutez IIS et Reporting Services sur le même ordinateur. Veillez à consulter la section Problèmes d'interopérabilité avec IIS pour des informations sur la manière de traiter ces problèmes.

Conditions requises des certificats de serveur

Vous devez installer un certificat de serveur sur l'ordinateur (les certificats clients ne sont pas pris en charge). Reporting Services ne fournit pas de fonctionnalités permettant de demander, générer, télécharger, ou installer un certificat. Windows Server 2003 fournit un composant logiciel enfichable Certificats que vous pouvez utiliser pour demander un certificat auprès d'une autorité de certification de confiance.

Vous pouvez créer un certificat localement à des fins de tests. Pour obtenir des instructions, consultez la section « Obtention d'un certificat » dans Configuration d'un certificat en vue de son utilisation par SSL. Si vous utilisez l'utilitaire MakeCert et l'exemple de commande comme modèle, veillez à spécifier votre nom de serveur comme hôte et supprimer tous les sauts de ligne avant d'exécuter la commande. Si vous exécutez la commande dans une fenêtre DOS, vous devrez peut-être augmenter la taille de la mémoire tampon de la fenêtre pour prendre en compte toute la commande.

Si vous exécutez IIS et Reporting Services sur le même ordinateur, vous pouvez utiliser l'application console Gestionnaire des services Internet pour installer le certificat sur votre ordinateur. Gestionnaire des services Internet inclut des options pour créer et empaqueter un fichier de demande de certificat (.crt) pour le traitement suivant par une autorité de certification de confiance. L'autorité de certification que vous utilisez génère un fichier de certificat (.cer) et vous le renvoie. Vous pouvez utiliser la console de gestion IIS pour installer le fichier de certificat dans le magasin local. Pour plus d'informations, consultez Using SSL to Encrypt Confidential Data (en anglais) sur le site TechNet.

Problèmes d'interopérabilité avec IIS

La présence d'IIS sur le même ordinateur que Reporting Services affecte considérablement les connexions SSL à un serveur de rapports :

  • Si IIS est installé, le service World Wide Web (W3SVC) doit toujours être en cours d'exécution. Le service HTTP SSL établit une dépendance sur IIS s'il détecte que le service est en cours d'exécution. Cela signifie que le service World Wide Web (W3SVC) doit être en cours d'exécution à chaque fois qu'IIS et Reporting Services sont installés sur le même ordinateur et que vous configurez des URL du serveur de rapports pour des connexions SSL.

  • La désinstallation d'IIS peut interrompre temporairement le service à une URL du serveur de rapports liée à SSL. C'est pourquoi il est fortement recommandé de redémarrer l'ordinateur après avoir désinstallé IIS.

    Il est nécessaire de redémarrer l'ordinateur pour effacer toutes les sessions SSL du cache. Certains systèmes d'exploitation mettent en cache des sessions SSL pendant 10 heures, ce qui prolonge le fonctionnement d'une URL https:// même après la suppression de la liaison SSL de la réservation d'URL dans HTTP.SYS. Le redémarrage de l'ordinateur ferme toutes les connexions ouvertes qui utilisent le canal.

Lier SSL à une réservation d'URL Reporting Services

Les étapes suivantes n'incluent pas d'instructions pour demander, générer, télécharger, ou installer un certificat. Un certificat doit être installé et disponible. Les propriétés de certificat que vous spécifiez, l'autorité de certification émettrice, et les outils et utilitaires que vous utilisez pour demander et installer le certificat relèvent entièrement de votre choix.

Vous pouvez utiliser l'outil de configuration de Reporting Services pour lier le certificat. Si le certificat est installé correctement dans le magasin de l'ordinateur local, l'outil de configuration de Reporting Services le détecte et l'affiche dans la liste Certificats SSL sur les pages URL du service Web et URL du Gestionnaire de rapports.

Pour configurer une URL de serveur de rapports pour SSL

  1. Démarrez l'outil de configuration de Reporting Services, puis connectez-vous au serveur de rapports.

  2. Cliquez sur URL du service Web.

  3. Développez la liste de Certificats SSL. Reporting Services détecte les certificats d'authentification serveur dans le magasin local. Si vous avez installé un certificat et qu'il ne figure pas dans la liste, vous devrez peut-être redémarrer le service. Vous pouvez utiliser les boutons Arrêter et Démarrer dans la page État de Report Server dans l'outil de configuration de Reporting Services pour redémarrer le service.

  4. Sélectionnez le certificat.

  5. Cliquez sur Appliquer.

  6. Cliquez sur l'URL pour vérifier qu'elle fonctionne.

Il est nécessaire de configurer la base de données du serveur de rapports pour tester l'URL. Si vous n'avez pas encore créé la base de données du serveur de rapports, faites le avant de tester l'URL.

Les réservations d'URL pour le service Web Report Server et le Gestionnaire de rapports sont configurées indépendamment. Si vous souhaitez configurer également l'accès au Gestionnaire de rapports à l'aide d'un canal chiffré par SSL, continuez les étapes suivantes :

  1. Cliquez sur URL du Gestionnaire de rapports.

  2. Cliquez sur Avancé.

  3. Dans Plusieurs identités SSL pour le Gestionnaire de rapports, cliquez Ajouter.

  4. Sélectionnez le certificat, cliquez sur OK puis sur Appliquer.

  5. Cliquez sur l'URL pour vérifier qu'elle fonctionne.

Comment les liaisons de certificat sont stockées

Les liaisons de certificat sont stockées dans HTTP.SYS. Une représentation des liaisons que vous avez définies est également stockée dans la section URLReservations du fichier RSReportServer.config. Les paramètres dans le fichier de configuration sont uniquement une représentation des valeurs réelles spécifiées ailleurs. Ne modifiez pas les valeurs directement dans le fichier de configuration. Les paramètres de configuration apparaissent dans le fichier uniquement si vous avez utilisé l'outil de configuration de Reporting Services ou le fournisseur WMI (Windows Management Instrumentation) de Report Server pour lier un certificat.

Notes

Si vous configurez une liaison avec un certificat SSL dans Reporting Services et que vous souhaitez par la suite supprimer le certificat de l'ordinateur, assurez-vous de supprimer la liaison de Reporting Services avant de supprimer le certificat de l'ordinateur. Sinon, vous ne pourrez pas supprimer la liaison en utilisant l'outil de configuration de Reporting Services ou WMI, et vous recevrez l'erreur « Paramètre non valide ». Si vous avez déjà supprimé le certificat de l'ordinateur, vous pouvez utiliser l'outil Httpcfg.exe pour supprimer la liaison de HTTP.SYS. Pour plus d'informations sur Httpcfg.exe, consultez la documentation produit de Windows.

Les liaisons SSL sont une ressource partagée dans Microsoft Windows. Les modifications apportées par le Gestionnaire de configuration Reporting Services ou d'autres outils, tels que le Gestionnaire des services IIS peuvent avoir une incidence dans d'autres applications sur le même ordinateur. Il est recommandé d'utiliser le même outil pour modifier les liaisons que celui utilisé pour les créer. Par exemple, si vous avez créé des liaisons SSL à l'aide du Gestionnaire de configuration, il est recommandé d'utiliser cet outil pour gérer le cycle de vie des liaisons. Si vous utilisez le Gestionnaire des services IIS pour créer des liaisons, il est recommandé d'utiliser cet outil pour gérer le cycle de vie des liaisons. Si IIS a été installé sur l'ordinateur avant Reporting Services, il est recommandé de vérifier la configuration SSL dans IIS avant de configurer Reporting Services.

Si vous supprimez des liaisons SSL pour Reporting Services à l'aide du Gestionnaire de configuration Reporting Services, il se peut que SSL ne fonctionne plus pour les sites Web sur un serveur exécutant Internet Information Services (IIS) ou sur un autre serveur HTTP.SYS. Le Gestionnaire de configuration Reporting Services supprime la clé de Registre suivante. Lorsque cette clé de Registre est supprimée, la liaison SSL pour IIS l'est également. Sans cette liaison, SSL n'est pas fourni pour le protocole HTTPS. Pour diagnostiquer ce problème, utilisez le Gestionnaire des services IIS ou l'utilitaire en ligne de commande HTTPCFG.exe. Pour résoudre le problème, restaurez la liaison SSL pour vos sites Web en utilisant le Gestionnaire des services IIS.. Pour éviter ce problème dans le futur, utilisez le Gestionnaire des services IIS pour restaurer la liaison pour les sites Web souhaités. Pour plus d'informations, consultez l'article de la Base de connaissances SSL ne fonctionne plus après la suppression d'une liaison SSL (https://support.microsoft.com/kb/956209/n).