Настройка TLS-соединений на сервере отчетов, работающем в собственном режиме

Область применения: SQL Server 2016 (13.x) Reporting Services и более поздних версий Сервер отчетов Power BI

Основной режим служб Reporting Services использует для установки зашифрованных подключений к серверу отчетов службу HTTP SSL. Протокол TLS ранее назывался SSL. Если у вас есть файл сертификата (.cer), установленный в локальном хранилище сертификатов на компьютере сервера отчетов, можно привязать сертификат к резервированию URL-адресов служб Reporting Services для поддержки подключений сервера отчетов через зашифрованный канал.

Поскольку службы IIS также используют HTTP-службу SSL, возникает ряд важных проблем взаимодействия, которые необходимо учитывать при запуске служб IIS и служб Reporting Services на одном компьютере. Ознакомьтесь с разделом «Проблемы взаимодействия со службами IIS», где приводятся рекомендации по решению данных проблем.

Требования к сертификату сервера

На компьютере должен быть установлен сертификат сервера (сертификаты клиента не поддерживаются). Службы Reporting Services не предоставляют функциональные возможности для запроса, создания, скачивания или установки сертификата. В Windows Server, начиная с версии 2012, доступна оснастка "Сертификаты", с помощью которой можно запрашивать сертификаты из доверенного центра сертификации.

Для тестовых целей можно сформировать локальный сертификат. Если используется программа MakeCert и пример команды в качестве шаблона, то перед выполнением команды задайте в качестве узла имя сервера и удалите все разрывы строки. Если команда выполняется в DOS-окне, то может понадобиться увеличить размер оконного буфера, чтобы в него вошла вся команда.

Если вы используете службы IIS и Reporting Services вместе на одном компьютере, вы можете использовать консольное приложение диспетчера IIS, чтобы получить сертификат, установленный на компьютере. Оно включает возможности создания и упаковки запроса файла сертификата (CRT) для последующей обработки надежным центром сертификации. Центр сертификации, который вы используете, создает файл сертификата (.cer) и отправляет его обратно. Установку файла сертификата в локальное хранилище можно выполнить при помощи консоли управления службами IIS. Дополнительные сведения см. в статье "Использование SSL для шифрования конфиденциальных данных в Technet".

Проблемы взаимодействия со службами IIS

Наличие СЛУЖБ IIS на том же компьютере, что и службы Reporting Services, значительно влияют на подключения TLS к серверу отчетов:

• Если установлены службы IIS, то должна быть постоянно запущена служба W3SVC. Служба HTTP SSL делает зависимость от СЛУЖБ IIS, если обнаруживает, что запущены службы IIS. Эта зависимость означает, что веб-служба W3SVC должна работать всякий раз, когда службы IIS и Reporting Services установлены на том же компьютере, и вы настраиваете URL-адреса сервера отчетов для подключений TLS.

• Удаление службы IIS может временно нарушить работу службы по привязанному к TLS-соединению URL-адресу сервера отчетов. По этой причине после удаления IIS необходимо перезагрузить компьютер.

  Перезагрузка компьютера необходима для очистки всех сеансов TLS из кэша. Некоторые операционные системы кэшируют сеансы TLS до 10 часов, что приводит к тому, что URL-адрес https:// продолжает работать даже после удаления привязки TLS из резервирования URL-адресов в HTTP.SYS. Перезапуск компьютера закрывает все открытые подключения, использующие канал.

Привязка TLS к резервированию URL-адресов служб Reporting Services

Следующие шаги не содержат инструкции по запросу, созданию, скачиванию или установке сертификата. Сертификат должен быть установлен и доступен для использования. Главное, что при этом требуется, — правильно задать свойства сертификата, получить его из центра сертификации и пользоваться средствами и программами для запроса и установки сертификата.

Привязку сертификата можно выполнить при помощи программы настройки служб Reporting Services. Если сертификат установлен правильно в локальном хранилище компьютеров, средство настройки служб Reporting Services обнаруживает его и отображает его в списке SSL-сертификатов на страницах URL-адреса веб-службы и URL-адреса веб-портала.

Настройка URL-адреса сервера отчетов для TLS

1. Запустите программу настройки служб Reporting Services и подключитесь к серверу отчетов.

2. Щелкните URL-адрес веб-службы.

3. Разверните список TLS/SSL-сертификатов. Reporting Services производят в локальном хранилище поиск сертификатов проверки подлинности сервера. Если вы установили сертификат и не видите его в списке, может потребоваться перезапустить службу. Это можно сделать с помощью кнопок Стоп и Пуск на странице Состояние сервера отчетов в программе настройки служб Reporting Services (верхняя страница).

4. Выберите сертификат.

5. Нажмите Применить.

6. Выберите URL-адрес, чтобы проверить его работу.

Для тестирования URL-адреса необходима настройка базы данных сервера отчетов. Если вы еще не создаете базу данных сервера отчетов, перед тестированием URL-адреса сделайте это.

Резервирования URL-адресов для веб-портала и веб-служб сервера отчетов настраиваются независимо. Вы также можете настроить доступ к веб-порталу через канал с TLS-шифрованием, сделав следующее.

1. Перейдите по URL-адресу веб-портала.

2. Выберите Дополнительно.

3. В разделе Несколько HTTPS-удостоверений для выбранного сейчас компонента Reporting Services выберите Добавить.

4. Выберите сертификат, нажмите кнопку "ОК" и нажмите кнопку "Применить".

5. Проверьте URL-адрес.

Хранение привязок к сертификату

Привязки сертификатов хранятся в HTTP.SYS. Представление определенных привязок хранится в разделе URLReservations файла RSReportServer.config. Настройки в файле конфигурации являются только представлением фактических значений, указанных в другом месте. Не изменяйте значения в файле конфигурации напрямую. Параметры настройки появятся в файле только в результате использования программы настройки служб Reporting Services или поставщика инструментария управления Windows (WMI) для привязки сертификата.

Привязки TLS являются общими ресурсами в Microsoft Windows. Изменения, внесенные Диспетчером конфигурации служб Reporting Services или другими средствами, такими как ДИСПЕТЧЕР IIS, могут повлиять на другие приложения на том же компьютере. Рекомендуется использовать тот же инструмент для изменения привязок, которые использовались для создания привязок. Например, если вы создали привязки TLS с помощью Configuration Manager, следует использовать Configuration Manager для управления жизненным циклом привязок. При использовании диспетчера IIS для создания привязок следует использовать диспетчер IIS для управления жизненным циклом привязок. Если службы IIS установлены на компьютере перед установкой служб Reporting Services, рекомендуется проверить конфигурацию TLS в СЛУЖБАх IIS перед настройкой служб Reporting Services.

Если удалить привязки TLS для служб Reporting Services с помощью диспетчера конфигурации сервера отчетов, tls больше не работает для веб-сайтов на сервере, на котором выполняется службы IIS (IIS) или на другом сервере HTTP.SYS. Reporting Services Configuration Manager удаляет следующий раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo\0.0.0.0:443 Если этот раздел реестра удаляется, привязка TLS для IIS также удаляется. Без этой привязки протокол TLS не предоставляется для протокола HTTPS. Чтобы определить проблему, используйте диспетчер IIS или программу командной строки HTTPCFG.exe. Чтобы устранить проблему, восстановите привязку TLS для веб-сайтов с помощью диспетчера IIS. Чтобы предотвратить эту проблему в будущем, используйте диспетчер IIS для удаления привязок TLS, а затем используйте диспетчер IIS для восстановления привязки для нужных веб-сайтов. Дополнительные сведения см. в статье базы знаний SSL перестает работать после удаления привязки SSL (https://support.microsoft.com/kb/956209/n).

Связанный контент

Проверка подлинности с использованием сервера отчетов
Настройка и администрирование сервера отчетов (собственный режим SSRS)
Файл конфигурации RsReportServer.config
Настройка URL-адресов сервера отчетов (диспетчер конфигурации сервера отчетов)