• Статья

Настройка сервера отчетов для соединений по протоколу SSL

Службы Службы Reporting Services используют HTTP-службу SSL для установления зашифрованного соединения с сервером отчетов. Если в локальном хранилище сертификатов на компьютере сервера отчетов установлен CER-файл сертификата, то можно связать его с резервированием URL-адресов служб Службы Reporting Services для поддержки соединений сервера отчетов через зашифрованный канал.

Поскольку службы IIS также используют HTTP-службу SSL, существует ряд проблем взаимодействия, которые необходимо учитывать при запуске служб IIS и служб Службы Reporting Services на одном компьютере. Ознакомьтесь с разделом «Проблемы взаимодействия со службами IIS», где приводятся рекомендации по решению данных проблем.

Требования к сертификату сервера

Сертификат сервера должен быть установлен на компьютере (клиентские сертификаты не поддерживаются). Службы Reporting Services реализуют функции запроса, формирования, загрузки или установки сертификатов. Запросить сертификаты из доверенного центра сертификации можно через оснастку «Сертификаты» операционной системы Windows Server 2003.

Для тестовых целей можно сформировать локальный сертификат. Инструкции см. в подразделе «Получение сертификата» раздела Настройка сертификата для использования протоколом SSL. Если используется программа MakeCert и образец команды в качестве шаблона, то перед выполнением команды задайте в качестве узла имя сервера и удалите все переносы строки. Если команда выполняется в DOS-окне, то может понадобиться увеличить размер оконного буфера, чтобы в него вошла вся команда.

Если службы IIS и службы Службы Reporting Services работают на одном и том же компьютере, то для получения сертификата можно воспользоваться программой командной строки IIS Manager, установленный на компьютере. Программа IIS Manager имеет параметры для создания и упаковки файла запроса сертификата (CRT) для последующей обработки в доверенном центре сертификации. Центр сертификации создаст файл сертификата (CER) и вышлет его обратно. Установку файла сертификата в локальное хранилище можно выполнить при помощи консоли управления службами IIS. Дополнительные сведения см. в разделе Использование SSL для шифрования конфиденциальных данных на веб-узле TechNet.

Проблемы взаимодействия со службами IIS

Присутствие на одном компьютере служб IIS и служб Службы Reporting Services оказывает значительное влияние на SSL-соединения с сервером отчетов.

  • Если установлены службы IIS, то должна быть постоянно запущена служба W3SVC. HTTP-служба SSL создает зависимость от служб IIS, если обнаружит, что они запущены. Это означает, что если службы IIS и Службы Reporting Services установлены на одном компьютере и URL-адреса серверов отчетов настроены на SSL-соединения, то должна быть запущена служба W3SVC.

  • Удаление службы IIS может нарушить работу службы по привязанному к SSL-соединению URL-адресу сервера отчетов. По этой причине настоятельно рекомендуется после удаления служб IIS перезапустить компьютер.

    Это необходимо для того, чтобы удалить из кэша все SSL-сеансы. В некоторых операционных системах время кэширования SSL-сеансов составляет до 10 часов, в результате чего URL-адрес https:// продолжает работать даже после удаления привязки SSL из резервирования URL-адресов в компоненте HTTP.SYS. При перезагрузке компьютера будут закрыты все открытые соединения, использующие этот канал.

Привязка SSL к резервированию URL-адресов служб Reporting Services

Следующие шаги не содержат инструкций для запроса формирования, загрузки или установки сертификата. Сертификат должен быть установлен и доступен для использования. Главное, что при этом требуется, — правильно задать свойства сертификата, получить его из центра сертификации и пользоваться средствами и программами для запроса и установки сертификата.

Привязку сертификата можно выполнить при помощи программы настройки служб Службы Reporting Services. Если сертификат правильно установлен в хранилище локального компьютера, то программа настройки служб Службы Reporting Services обнаружит его и отобразит в списке Сертификаты SSL на страницах URL-адрес веб-службы и URL-адрес диспетчера отчетов.

Настройка URL-адреса сервера отчетов для SSL

  1. Запустите программу настройки служб Reporting Services и соединитесь с сервером отчетов.

  2. Щелкните ссылку URL-адрес веб-службы.

  3. Раскройте список сертификатов SSL. Службы Службы Reporting Services производят поиск в локальном хранилище сертификатов проверки подлинности сервера. Если сертификат установлен, но его нет в списке, то может понадобиться перезапустить службу. Это можно сделать при помощи кнопок Стоп и Пуск на странице Состояние сервера отчетов в программе настройки служб Reporting Services.

  4. Выберите сертификат.

  5. Нажмите кнопку Применить.

  6. Щелкните URL-адрес, чтобы проверить работоспособность.

Для тестирования URL-адреса необходима настройка базы данных сервера отчетов. Если база данных сервера отчетов еще не создана, то это необходимо сделать до начала тестирования URL-адреса.

Резервирования URL-адресов для диспетчера отчетов и веб-службы сервера отчетов настраиваются независимо. Если нужно также настроить доступ к диспетчеру отчетов через канал с SSL-шифрованием, выполните следующие шаги.

  1. Нажмите кнопку URL-адрес диспетчера отчетов.

  2. Перейдите на вкладку Дополнительно.

  3. В разделе Несколько удостоверений SSL для диспетчера отчетов нажмите Добавить.

  4. Выберите сертификат, нажмите кнопку ОК, а затем кнопку Применить.

  5. Щелкните URL-адрес, чтобы проверить работоспособность.

Хранение привязок к сертификату

Привязки к сертификатам сохраняются в HTTP.SYS. Представления определенных привязок также сохранятся в разделе URLReservations файла RSReportServer.config. Настройки в файле конфигурации являются только представлением фактических значений, указанных в другом месте. Изменять значения непосредственно в файле конфигурации нельзя. Параметры настройки появятся в файле только в результате использования программы настройки служб Службы Reporting Services или поставщика инструментария управления Windows (WMI) для привязки сертификата.

ПримечаниеПримечание

Если настройка привязки выполняется при помощи SSL-сертификата в службах Службы Reporting Services, а в дальнейшем потребуется удалить сертификат из компьютера, обеспечьте удаление привязки из служб Службы Reporting Services перед удалением сертификата из компьютера. В противном случае будет невозможно удалить привязку при помощи программы настройки служб Службы Reporting Services или WMI и появится уведомление об ошибке «Недопустимый параметр». Если сертификат с компьютера уже удален, то можно с помощью программы Httpcfg.exe удалить привязку из HTTP.SYS. Дополнительные сведения о программе Httpcfg.exe см. в документации по продукту Windows.

Привязки SSL являются общими ресурсами в Microsoft Windows. Изменения, сделанные в диспетчере конфигурации служб Службы Reporting Services или других программах вроде диспетчера IIS, могут отразиться на работе других приложений, работающих на этом же компьютере. Рекомендуется пользоваться для изменения привязок тем же средством, которое использовалось для их создания. Например, если создание привязок SSL производилось в диспетчере конфигурации, то рекомендуется работать с ними в той же программе в течение всего срока их службы. Если же для создания привязок использовался диспетчер IIS, то рекомендуется и все дальнейшие операции с этими привязками выполнять также с помощью диспетчера IIS. Если службы IIS установлены на компьютере до установки служб Службы Reporting Services, то рекомендуется проверить конфигурацию SSL в IIS перед настройкой служб Службы Reporting Services.

Если удаление привязок SSL для служб Службы Reporting Services выполняется с помощью диспетчера конфигурации служб Reporting Services, то может перестать работать SSL для веб-сайтов на сервере, где работают службы IIS, или на другом сервере HTTP.SYS. Службы Reporting Services Диспетчер конфигурации удаляет следующий раздел реестра. Когда этот раздел реестра удаляется, привязка SSL для IIS также удаляется. Без этой привязки SSL для протокола HTTPS не поддерживается. Выполнить диагностику этой проблемы можно с помощью диспетчера IIS или программы HTTPCFG.exe. Чтобы решить эту проблему, восстановите привязку SSL для своих веб-сайтов с помощью диспетчера IIS. Чтобы предотвратить возникновение этой проблемы в будущем, с помощью диспетчера IIS удалите привязки SSL, а затем с помощью диспетчера IIS восстановите привязку для нужных веб-сайтов. Дополнительные сведения см. в статье базы знаний SSL перестает работать после удаления привязки SSL (https://support.microsoft.com/kb/956209/n).