Konfigurieren von SSL-Verbindungen auf einem Berichtsserver im einheitlichen Modus

  • Artikel

Im einheitlichen Modus von Reporting Services wird der HTTP-SSL-Dienst (Secure Sockets Layer, SSL) verwendet, um verschlüsselte Verbindungen mit einem Berichtsserver herzustellen. Wenn in einem lokalen Zertifikatspeicher auf dem Berichtsservercomputer eine Zertifikatsdatei (CER-Datei) installiert ist, können Sie das Zertifikat an eine Reporting Services-URL-Reservierung binden, um Berichtsserververbindungen über einen verschlüsselten Kanal zu unterstützen.

TippTipp

Bei Verwendung des SharePoint-Modus von Reporting Services finden Sie weitere Informationen in der SharePoint-Dokumentation. Beispielsweise unter Vorgehensweise: Aktivieren von SSL für eine SharePoint 2010-Webanwendung (https://blogs.msdn.com/b/sowmyancs/archive/2010/02/12/how-to-enable-ssl-on-a-sharepoint-web-application.aspx).

Da Internetinformationsdienste (IIS) auch HTTP-SSL verwenden, bestehen signifikante Probleme mit der Interoperabilität, die berücksichtigt werden müssen, wenn IIS und Reporting Services auf demselben Computer ausgeführt werden. Überprüfen Sie im Abschnitt "Interoperabilitätsprobleme mit IIS", wie Sie diese Probleme beheben können.

Anforderungen für Serverzertifikate

Auf Ihrem Computer muss ein Serverzertifikat installiert sein (Clientzertifikate werden nicht unterstützt). Reporting Services bietet keine Funktionalität für das Anfordern, Generieren, Herunterladen oder Installieren von Zertifikaten. Windows Server 2003 bietet ein Zertifikate-Snap-in, mit dem Sie ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle anfordern können.

Für Testzwecke können Sie ein Zertifikat lokal generieren. Wenn Sie das Hilfsprogramm MakeCert und den Beispielbefehl als Vorlage verwenden, geben Sie Ihren Servernamen als Host an, und entfernen Sie alle Zeilenumbrüche, bevor Sie den Befehl ausführen. Wenn Sie den Befehl in einem DOS-Fenster ausführen, müssen Sie die Puffergröße des Fensters erhöhen, damit der gesamte Befehl aufgenommen werden kann.

Wenn Sie IIS und Reporting Services zusammen auf demselben Computer verwenden, können Sie mit der IIS-Manager-Konsolenanwendung das auf Ihrem Computer installierte Zertifikat abrufen. IIS-Manager enthält Optionen, mit denen Sie eine Zertifikatanforderungsdatei (CRT-Datei) erstellen und in ein Paket integrieren können, sodass sie nachfolgend von einer vertrauenswürdigen Zertifizierungsstelle verarbeitet werden kann. Die von Ihnen verwendete Zertifizierungsstelle generiert eine Zertifikatsdatei (CER-Datei), die sie an Sie zurücksendet. Über die IIS-Verwaltungskonsole können Sie die Zertifikatsdatei im lokalen Speicher installieren. Weitere Informationen finden Sie unter Using SSL to Encrypt Confidential Data auf der TechNet-Website.

Interoperabilitätsprobleme mit IIS

Wenn IIS auf demselben Computer vorhanden ist wie Reporting Services, wirkt sich dies entscheidend auf die SSL-Verbindungen zu einem Berichtsserver aus:

  • Wenn IIS installiert ist, muss der World Wide Web-(W3SVC)-Dienst immer ausgeführt werden. Der HTTP-SSL-Dienst stellt eine Abhängigkeit zu IIS her, wenn er erkennt, dass IIS ausgeführt wird. Dies bedeutet, dass der World Wide Web-(W3SVC)-Dienst ausgeführt werden muss, wenn IIS und Reporting Services auf demselben Computer installiert werden und Sie Berichtsserver-URLs für SSL-Verbindungen konfigurieren.

  • Durch das Deinstallieren von IIS kann der Dienst zu einer SSL-gerichteten Berichtsserver-URL vorübergehend unterbrochen werden. Aus diesem Grund wird dringend empfohlen, den Computer neu zu starten, nachdem Sie IIS deinstalliert haben.

    Sie müssen den Computer neu starten, um alle SSL-Sitzungen aus dem Cache zu löschen. Einige Betriebssysteme speichern SSL-Sitzungen bis zu 10 Stunden im Cache. Aus diesem Grund funktioniert eine https://-URL auch, nachdem die SSL-Bindung von der URL-Reservierung in HTTP.SYS entfernt wurde. Durch den Neustart des Computers werden alle geöffneten Verbindungen geschlossen, die den Kanal verwenden.

Binden von SSL an eine URL-Reservierung für Reporting Services

In den folgenden Schritten wird nicht erläutert, wie Sie Zertifikate anfordern, generieren, herunterladen oder installieren. Sie müssen bereits ein Zertifakt installiert haben, das verwendet werden kann. Es bleibt Ihnen überlassen, welche Zertifikatseigenschaften Sie angeben, welche Zertifizierungsstelle Sie verwenden und mit welchen Tools und Hilfsprogrammen Sie das Zertifikat anfordern und installieren.

Sie können das Zertifikat mit dem Reporting Services-Konfigurationstool binden. Wenn das Zertifikat im lokalen Computerspeicher korrekt installiert ist, wird es vom Reporting Services-Konfigurationstool erkannt und in der Liste SSL-Zertifikate auf den Seiten Webdienst-URL und Report-Manager-URL angezeigt.

So konfigurieren Sie eine Berichtsserver-URL für SSL

  1. Starten Sie das Reporting Services-Konfigurationstool, und stellen Sie eine Verbindung mit dem Berichtsserver her.

  2. Klicken Sie auf Webdienst-URL.

  3. Erweitern Sie die Liste der SSL-Zertifikate. Reporting Services erkennt Serverauthentifizierungszertifikate im lokalen Speicher. Wenn Sie ein Zertifikat installiert haben, das in der Liste nicht angezeigt wird, müssen Sie den Dienst eventuell neu starten. Verwenden Sie die Schaltflächen Stopp und Start auf der Seite Berichtsserverstatus im Konfigurationstool für die Reporting Services, um den Dienst neu zu starten.

  4. Wählen Sie das Zertifikat aus.

  5. Klicken Sie auf Anwenden.

  6. Klicken Sie auf die URL, um zu überprüfen, ob sie funktioniert.

Damit Sie die URL testen können, muss die Berichtsserverdatenbank konfiguriert sein. Erstellen Sie gegebenenfalls die Berichtsserverdatenbank, bevor Sie die URL testen.

URL-Reservierungen für den Berichts-Manager und den Berichtsserver-Webdienst werden unabhängig konfiguriert. Wenn Sie auch den Zugriff des Berichts-Managers über einen SSL-verschlüsselten Kanal konfigurieren möchten, fahren Sie mit den folgenden Schritten fort:

  1. Klicken Sie auf Berichts-Manager-URL.

  2. Klicken Sie auf Erweitert.

  3. Klicken Sie unter Mehrere SSL-Identitäten für Berichts-Manager auf Hinzufügen.

  4. Wählen Sie das gewünschte Zertifikat, klicken Sie auf OK, und klicken Sie dann auf Anwenden.

  5. Klicken Sie auf die URL, um zu überprüfen, ob sie funktioniert.

Speichern von Zertifikatsbindungen

Zertifikatsbindungen werden in HTTP.SYS gespeichert. Eine Darstellung der definierten Bindungen wird auch im Abschnitt URLReservations der Datei RSReportServer.config gespeichert. Die Einstellungen in der Konfigurationsdatei sind nur eine Darstellung der tatsächlichen, an anderer Stelle gespeicherten Werte. Ändern Sie die Werte in der Konfigurationsdatei nicht direkt. Die Konfigurationseinstellungen werden in der Datei erst angezeigt, wenn Sie das Reporting Services-Konfigurationstool oder den Berichtsserver-WMI-Anbieter (Windows Management Instrumentation) verwenden, um ein Zertifikat zu binden.

HinweisHinweis

Wenn Sie eine Bindung mit einem SSL-Zertifikat in Reporting Services konfigurieren und das Zertifikat später von dem Computer entfernen möchten, müssen Sie sicherstellen, dass Sie die Bindung aus Reporting Services entfernen, bevor Sie das Zertifikat vom Computer entfernen. Anderenfalls können Sie die Bindung mit dem Reporting Services-Konfigurationstool oder WMI nicht mehr entfernen, und die Fehlermeldung "Ungültiger Parameter" wird angezeigt. Wenn Sie das Zertifikat bereits vom Computer entfernt haben, können Sie das Tool Httpcfg.exe verwenden, um die Bindung aus HTTP.SYS zu entfernen. Weitere Informationen zu Httpcfg.exe finden Sie in der Windows-Produktdokumentation.

SSL-Bindungen stellen in Microsoft Windows eine freigegebene Ressource dar. Die vom Konfigurations-Manager für Reporting Services oder anderen Tools wie IIS-Manager vorgenommenen Änderungen können sich auf andere Anwendungen auf demselben Computer auswirken. Es empfiehlt sich, zum Bearbeiten von Bindungen dasselbe Tool zu verwenden, mit dem Sie die Bindungen erstellt haben. Wenn Sie SSL-Bindungen beispielsweise mit dem Konfigurations-Manager erstellt haben, empfiehlt es sich, den Lebenszyklus der Bindungen mit dem Konfigurations-Manager zu verwalten. Wenn Sie Bindungen mit dem IIS-Manager erstellt haben, empfiehlt es sich, den Lebenszyklus der Bindungen mit dem IIS-Manager zu verwalten. Wenn IIS vor der Installation von Reporting Services auf dem Computer installiert wurde, empfiehlt es sich, die SSL-Konfiguration in IIS vor der Konfiguration von Reporting Services zu überprüfen.

Wenn Sie SSL-Bindungen für Reporting Services mithilfe des Konfigurations-Managers für Reporting Services entfernen, funktioniert SSL möglicherweise nicht mehr für Websites auf einem Server, auf dem Internetinformationsdienste (IIS) ausgeführt werden, bzw. auf einem anderen HTTP.SYS-Server. Mit dem Konfigurations-Manager für Reporting Services wird der folgende Registrierungsschlüssel entfernt. Zusammen mit diesem Registrierungsschlüssel wird auch die SSL-Bindung für IIS entfernt. Ohne diese Bindung wird SSL nicht für das HTTPS-Protokoll bereitgestellt. Um dieses Problem zu diagnostizieren, verwenden Sie den IIS-Manager oder das Befehlszeilen-Hilfsprogramm HTTPCFG.exe. Zur Lösung des Problems stellen Sie die SSL-Bindung für die Websites mithilfe des IIS-Managers wieder her. Um das Problem in Zukunft zu vermeiden, entfernen Sie die SSL-Bindungen mit dem IIS-Manager und stellen die Bindung dann mithilfe des IIS-Managers für die gewünschten Websites wieder her. Weitere Informationen finden Sie im Knowledge Base-Artikel SSL funktioniert nach dem Entfernen einer SSL-Bindung nicht mehr (https://support.microsoft.com/kb/956209/n).

Siehe auch

Konzepte

Authentifizierung mit dem Berichtsserver

Konfiguration und Verwaltung eines Berichtsservers (SharePoint-Modus von Reporting Services)

RSReportServer-Konfigurationsdatei

Konfigurieren von Berichtsserver-URLs

Andere Ressourcen

How to: Start Reporting Services Configuration Manager