Artikel
09/24/2010

Konfigurieren eines Berichtsservers für SSL-Verbindungen (Secure Sockets Layer)

Reporting Services verwendet den HTTP-SSL-(Secure Sockets Layer)-Dienst, um verschlüsselte Verbindungen zu einem Berichtsserver herzustellen. Wenn in einem lokalen Zertifikatspeicher auf dem Berichtsserver-Computer eine Zertifikatsdatei (CER-Datei) installiert ist, können Sie das Zertifikat an eine Reporting Services-URL-Reservierung binden, um Berichtsserververbindungen über einen verschlüsselten Kanal zu unterstützen.

Da Internet Information Services (IIS) auch HTTP SSL verwenden, gibt es signifikante Probleme mit der Interoperabilität, die Sie berücksichtigen müssen, wenn Sie IIS und Reporting Services auf demselben Computer ausführen. Überprüfen Sie im Abschnitt 'Interoperabilitätsprobleme mit IIS', wie Sie diese Probleme beheben können.

Anforderungen für Serverzertifikate

Auf Ihrem Computer muss ein Serverzertifikat installiert sein (Clientzertifikate werden nicht unterstützt). Reporting Services bietet keine Funktionalität für das Anfordern, Generieren, Herunterladen oder Installieren von Zertifikaten. Windows Server 2003 bietet ein Zertifikate-Snap-in, mit dem Sie ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle anfordern können.

Für Testzwecke können Sie ein Zertifikat lokal generieren. Anweisungen finden Sie im Abschnitt zum Erhalten eines Zertifikats Konfigurieren eines Zertifikats zur Verwendung durch SSL. Wenn Sie das Dienstprogramm MakeCert und den Beispielbefehl als Vorlage verwenden, geben Sie Ihren Servernamen als Host an, und entfernen Sie alle Zeilenumbrüche, bevor Sie den Befehl ausführen. Wenn Sie den Befehl in einem DOS-Fenster ausführen, müssen Sie die Puffergröße des Fensters erhöhen, damit der gesamte Befehl aufgenommen werden kann.

Wenn Sie IIS und Reporting Services zusammen auf demselben Computer verwenden, können Sie mit der IIS-Manager-Konsolenanwendung das auf Ihrem Computer installierte Zertifikat abrufen. IIS-Manager enthält Optionen, mit denen Sie eine Zertifikatanforderungsdatei (CRT-Datei) erstellen und in ein Paket integrieren können, sodass sie nachfolgend von einer vertrauenswürdigen Zertifizierungsstelle verarbeitet werden kann. Die von Ihnen verwendete Zertifizierungsstelle generiert eine Zertifikatsdatei (CER-Datei), die sie an Sie zurücksendet. Über die IIS-Verwaltungskonsole können Sie die Zertifikatsdatei im lokalen Speicher installieren. Weitere Informationen finden Sie unter Using SSL to Encrypt Confidential Data auf der TechNet-Website.

Interoperabilitätsprobleme mit IIS

Wenn IIS auf demselben Computer vorhanden ist wie Reporting Services, wirkt sich dies entscheidend auf die SSL-Verbindungen zu einem Berichtsserver aus:

Wenn IIS installiert ist, muss der World Wide Web-(W3SVC)-Dienst immer ausgeführt werden. Der HTTP-SSL-Dienst stellt eine Abhängigkeit zu IIS her, wenn er erkennt, dass IIS ausgeführt wird. Dies bedeutet, dass der World Wide Web-(W3SVC)-Dienst ausgeführt werden muss, wenn IIS und Reporting Services auf demselben Computer installiert werden und Sie Berichtsserver-URLs für SSL-Verbindungen konfigurieren.
Durch das Deinstallieren von IIS kann der Dienst zu einer SSL-gerichteten Berichtsserver-URL vorübergehend unterbrochen werden. Aus diesem Grund wird dringend empfohlen, den Computer neu zu starten, nachdem Sie IIS deinstalliert haben.

Sie müssen den Computer neu starten, um alle SSL-Sitzungen aus dem Cache zu löschen. Einige Betriebssysteme speichern SSL-Sitzungen bis zu 10 Stunden im Cache. Aus diesem Grund funktioniert eine https://-URL auch, nachdem die SSL-Bindung von der URL-Reservierung in HTTP.SYS entfernt wurde. Durch den Neustart des Computers werden alle geöffneten Verbindungen geschlossen, die den Kanal verwenden.

Binden von SSL an eine URL-Reservierung für Reporting Services

In den folgenden Schritten wird nicht erläutert, wie Sie Zertifikate anfordern, generieren, herunterladen oder installieren. Sie müssen bereits ein Zertifakt installiert haben, das verwendet werden kann. Es bleibt Ihnen überlassen, welche Zertifikatseigenschaften Sie angeben, welche Zertifizierungsstelle Sie verwenden und mit welchen Tools und Dienstprogrammen Sie das Zertifikat anfordern und installieren.

Sie können das Zertifikat mit dem Reporting Services-Konfigurationstool binden. Wenn das Zertifikat im lokalen Computerspeicher korrekt installiert ist, wird es vom Reporting Services-Konfigurationstool erkannt und in der Liste SSL-Zertifikate auf den Seiten Webdienst-URL und Report-Manager-URL angezeigt.

So konfigurieren Sie eine Berichtsserver-URL für SSL

Starten Sie das Reporting Services-Konfigurationstool, und stellen Sie eine Verbindung mit dem Berichtsserver her.
Klicken Sie auf Webdienst-URL.
Erweitern Sie die Liste der SSL-Zertifikate. Reporting Services erkennt Serverauthentifizierungszertifikate im lokalen Speicher. Wenn Sie ein Zertifikat installiert haben, das in der Liste nicht angezeigt wird, müssen Sie den Dienst eventuell neu starten. Verwenden Sie die Schaltflächen Stopp und Start auf der Seite Berichtsserverstatus im Konfigurationstool für die Reporting Services, um den Dienst neu zu starten.
Wählen Sie das Zertifikat aus.
Klicken Sie auf Anwenden.
Klicken Sie auf die URL, um zu überprüfen, ob sie funktioniert.

Damit Sie die URL testen können, muss die Berichtsserverdatenbank konfiguriert sein. Erstellen Sie gegebenenfalls die Berichtsserverdatenbank, bevor Sie die URL testen.

URL-Reservierungen für den Berichts-Manager und den Berichtsserver-Webdienst werden unabhängig konfiguriert. Wenn Sie auch den Zugriff des Berichts-Managers über einen SSL-verschlüsselten Kanal konfigurieren möchten, fahren Sie mit den folgenden Schritten fort:

Klicken Sie auf Berichts-Manager-URL.
Klicken Sie auf Erweitert.
Klicken Sie unter Mehrere SSL-Identitäten für Berichts-Manager auf Hinzufügen.
Wählen Sie das gewünschte Zertifikat, klicken Sie auf OK, und klicken Sie dann auf Anwenden.
Klicken Sie auf die URL, um zu überprüfen, ob sie funktioniert.

Speichern von Zertifikatsbindungen

Zertifikatsbindungen werden in HTTP.SYS gespeichert. Eine Darstellung der definierten Bindungen wird auch im Abschnitt URLReservations der Datei RSReportServer.config gespeichert. Die Einstellungen in der Konfigurationsdatei sind nur eine Darstellung der tatsächlichen, an anderer Stelle gespeicherten Werte. Ändern Sie die Werte in der Konfigurationsdatei nicht direkt. Die Konfigurationseinstellungen werden in der Datei erst angezeigt, wenn Sie das Reporting Services-Konfigurationstool oder den Berichtsserver-WMI-Anbieter (Windows Management Instrumentation) verwenden, um ein Zertifikat zu binden.

Hinweis
Wenn Sie eine Bindung mit einem SSL-Zertifikat in Reporting Services konfigurieren und das Zertifikat später vom Computer entfernen möchten, stellen Sie sicher, dass Sie die Bindung aus Reporting Services entfernen, bevor Sie das Zertifikat vom Computer entfernen. Andernfalls können Sie die Bindung nicht mit dem Reporting Services-Konfigurationstool oder WMI entfernen, und es wird der Fehler "Ungültiger Parameter" angezeigt. Wenn Sie das Zertifikat bereits vom Computer entfernt haben, können Sie mit dem Tool Httpcfg.exe die Bindung aus HTTP.SYS entfernen. Weitere Informationen zu Httpcfg.exe finden Sie in der Windows-Produktdokumentation.

Wenn Sie eine Bindung mit einem SSL-Zertifikat in Reporting Services konfigurieren und das Zertifikat später vom Computer entfernen möchten, stellen Sie sicher, dass Sie die Bindung aus Reporting Services entfernen, bevor Sie das Zertifikat vom Computer entfernen. Andernfalls können Sie die Bindung nicht mit dem Reporting Services-Konfigurationstool oder WMI entfernen, und es wird der Fehler "Ungültiger Parameter" angezeigt. Wenn Sie das Zertifikat bereits vom Computer entfernt haben, können Sie mit dem Tool Httpcfg.exe die Bindung aus HTTP.SYS entfernen. Weitere Informationen zu Httpcfg.exe finden Sie in der Windows-Produktdokumentation.