Claves de cifrado de SSRS: eliminar y volver a crear claves de cifradoSSRS Encryption Keys - Delete and Re-create Encryption Keys

Las actividades de eliminación y nueva creación de claves de cifrado quedan fuera del mantenimiento rutinario de las claves de cifrado.Deleting and re-creating encryption keys are activities that fall outside of routine encryption key maintenance. Estas tareas se realizan en respuesta a una amenaza específica al servidor de informes o como último recurso cuando ya no se tiene acceso a una base de datos del servidor de informes.You perform these tasks in response to a specific threat to your report server, or as a last resort when you can no longer access a report server database.

  • Vuelva a crear la clave simétrica cuando crea que la existente está en riesgo.Re-create the symmetric key when you believe the existing symmetric key is compromised. También puede volver a crearla con una frecuencia determinada, como práctica recomendada de seguridad.You can also re-create the key on a regular basis as a security best practice.

  • Elimine claves de cifrado existentes y el contenido cifrado no utilizable cuando no pueda restaurar la clave simétrica.Delete existing encryption keys and unusable encrypted content when you cannot restore the symmetric key.

volver a crear claves de cifradoRe-creating Encryption Keys

Si tiene pruebas de que hay usuarios no autorizados que conocen la clave simétrica, o si el servidor de informes ha sufrido algún ataque y desea restablecer la clave simétrica como medida de precaución, puede volver a crearla.If you have evidence that the symmetric key is known to unauthorized users, or if your report server has been under attack and you want to reset the symmetric key as a precaution, you can re-create the symmetric key. Cuando se vuelve a crear la clave simétrica, todos los valores cifrados se cifran de nuevo con este valor.When you re-create the symmetric key, all encrypted values will be re-encrypted using the new value. Si se ejecutan varios servidores de informes en una implementación escalada, todas las copias de la clave simétrica se actualizan con el nuevo valor.If you are running multiple report servers in a scale-out deployment, all copies of the symmetric key will be updated to the new value. El servidor de informes utiliza las claves públicas disponibles para actualizar la clave simétrica en cada servidor de la implementación.The report server uses the public keys available to it to update the symmetric key for each server in the deployment.

Solo se puede volver a crear la clave simétrica cuando el servidor de informes se encuentre en un estado de funcionamiento.You can only re-create the symmetric key when the report server is in a working state. La creación de claves de cifrado y el cifrado de contenido interrumpen las operaciones del servidor.Re-creating the encryption keys and re-encrypting content disrupts server operations. Debe poner el servidor en modo sin conexión durante el proceso de nuevo cifrado.You must take the server offline while re-encryption is underway. No se deben realizar solicitudes al servidor de informes durante este proceso.There should be no requests made to the report server during re-encryption.

Para restablecer la clave simétrica y los datos cifrados, se puede usar la herramienta de configuración de Reporting Services o la utilidad rskeymgmt .You can use the Reporting Services Configuration tool or the rskeymgmt utility to reset the symmetric key and encrypted data. Para más información sobre cómo se crea la clave simétrica, vea Inicializar un servidor de informes (Administrador de configuración de SSRS).For more information about how the symmetric key is created, see Initialize a Report Server (SSRS Configuration Manager).

Cómo volver a crear claves de cifrado (herramienta de configuración de Reporting Services)How to re-create encryption keys (Reporting Services Configuration Tool)

  1. Deshabilite el acceso HTTP y el servicio web del servidor de informes modificando la propiedad IsWebServiceEnabled en el archivo rsreportserver.config.Disable the Report Server Web service and HTTP access by modifying the IsWebServiceEnabled property in the rsreportserver.config file. Este paso evita temporalmente que las solicitudes de autenticación se envíen al servidor de informes sin cerrar el servidor completamente.This step temporarily stops authentication requests from being sent to the report server without completely shutting down the server. Debe tener el servicio mínimo para poder volver a crear las claves.You must have minimal service so that you can recreate the keys.

    Si vuelve a crear claves de cifrado para una implementación escalada del servidor de informes, deshabilite esta propiedad en todas las instancias de la implementación.If you are recreating encryption keys for a report server scale-out deployment, disable this property on all instances in the deployment.

    1. Abra el Explorador de Windows y navegue a unidad:\Archivos de programa\Microsoft SQL Server\instancia_servidor_informes\Reporting Services.Open Windows Explorer and navigate to drive:\Program Files\Microsoft SQL Server\report_server_instance\Reporting Services. Reemplace unidad por su letra de unidad e instancia_servidor_informes por el nombre de carpeta que corresponde a la instancia del servidor de informes para la que quiere deshabilitar el acceso HTTP y el servicio web.Replace drive with your drive letter and report_server_instance with the folder name that corresponds to the report server instance for which you want to disable the Web service and HTTP access. Por ejemplo, C:\Archivos de programa\Microsoft SQL Server\MSRS10_50.MSSQLSERVER\Reporting Services.For example, C:\Program Files\Microsoft SQL Server\MSRS10_50.MSSQLSERVER\Reporting Services.

    2. Abra el archivo rsreportserver.config.Open the rsreportserver.config file.

    3. Para la propiedad IsWebServiceEnabled , especifique Falsey, a continuación, guarde los cambios.For the IsWebServiceEnabled property, specify False, and then save your changes.

  2. Inicie la herramienta de configuración de Reporting Services y, a continuación, conéctese a la instancia del servidor de informes que desea configurar.Start the Reporting Services Configuration tool, and then connect to the report server instance you want to configure.

  3. En la página Claves de cifrado, haga clic en Cambiar.On the Encryption Keys page, click Change. Haga clic en Aceptar.Click OK.

  4. Reinicie el servicio Servidor de informes de Windows.Restart the Report Server Windows service. Si vuelve a crear claves de cifrado para una implementación escalada, reinicie el servicio en todas las instancias.If you are recreating encryption keys for a scale-out deployment, restart the service on all instances.

  5. Vuelva a habilitar el acceso HTTP y el servicio web modificando la propiedad IsWebServiceEnabled en el archivo rsreportserver.config.Re-enable the Web service and HTTP access by modifying the IsWebServiceEnabled property in the rsreportserver.config file. Hágalo para todas las instancias si está trabajando con una implementación escalada.Do this for all instances if you are working with a scale out deployment.

Cómo volver a crear claves de cifrado (rskeymgmt)How to re-create encryption keys (rskeymgmt)

  1. Deshabilite el acceso HTTP y el servicio web del servidor de informes.Disable the Report Server Web service and HTTP access. Siga las instrucciones del procedimiento anterior para detener las operaciones de los servicios web.Use the instructions in the previous procedure to stop Web service operations.

  2. Ejecute rskeymgmt.exe localmente en el equipo que hospeda el servidor de informes.Run rskeymgmt.exe locally on the computer that hosts the report server. Use el argumento -s para restablecer la clave simétrica.Use the -s argument to reset the symmetric key. No se requieren más argumentos:No other arguments are required:

    rskeymgmt -s  
    
  3. Reinicie el servicio Reporting Services de Windows.Restart the Reporting Services Windows service.

Eliminar contenido cifrado que no pueda utilizarseDeleting Unusable Encrypted Content

Si, por algún motivo, no puede restaurar la clave de cifrado, el servidor de informes nunca podrá descifrar ni utilizar los datos que se hayan cifrado con esa clave.If for some reason you cannot restore the encryption key, the report server will never be able to decrypt and use any data that is encrypted with that key. Para devolver al servidor de informes a un estado de funcionamiento, se deben eliminar los valores cifrados almacenados actualmente en la base de datos del servidor de informes y después, volver a especificar manualmente los valores que se necesiten.To return the report server to a working state, you must delete the encrypted values that are currently stored in the report server database and then manually re-specify the values you need.

La eliminación de las claves de cifrado provoca la supresión de toda información de clave simétrica de la base de datos del servidor de informes y elimina todo el contenido cifrado.Deleting the encryption keys removes all symmetric key information from the report server database and deletes any encrypted content. Los datos no cifrados permanecen intactos; solo se suprime el contenido cifrado.All unencrypted data is left intact; only encrypted content is removed. Cuando se eliminan las claves de cifrado, el servidor de informes se reinicializa automáticamente agregando una nueva clave simétrica.When you delete the encryption keys, the report server re-initializes itself automatically by adding a new symmetric key. Cuando se elimina el contenido cifrado, ocurre lo siguiente:The following occurs when you delete encrypted content:

  • Se eliminan las cadenas de conexión en orígenes de datos compartidos.Connection strings in shared data sources are deleted. Los usuarios que ejecutan informes obtienen el error "No se inicializó la propiedad ConnectionString".Users who run reports get the error "The ConnectionString property has not been initialized."

  • Se eliminan las credenciales almacenadas.Stored credentials are deleted. Los informes y los orígenes de datos compartidos se reconfiguran para que utilicen credenciales solicitadas.Reports and shared data sources are reconfigured to use prompted credentials.

  • No se pueden ejecutar los informes que se basan en modelos (y que requieren orígenes de datos compartidos configurados con credenciales almacenadas o sin ninguna credencial).Reports that are based on models (and require shared data sources configured with stored or no credentials) will not run.

  • Las suscripciones se desactivan.Subscriptions are deactivated.

    Una vez eliminado el contenido cifrado, ya no es posible recuperarlo.Once you delete encrypted content, you cannot recover it. Se deben volver a especificar cadenas de conexión y credenciales almacenadas, y es necesario activar las suscripciones.You must re-specify connection strings and stored credentials, and you must activate subscriptions.

    Para quitar los valores, se puede usar la herramienta de configuración de Reporting Services o la utilidad rskeymgmt .You can use the Reporting Services Configuration tool or the rskeymgmt utility to remove the values.

Cómo eliminar claves de cifrado (herramienta de configuración de Reporting Services)How to delete encryption keys (Reporting Services Configuration Tool)

  1. Inicie la herramienta de configuración de Reporting Services y, a continuación, conéctese a la instancia del servidor de informes que desea configurar.Start the Reporting Services Configuration tool, and then connect to the report server instance you want to configure.

  2. Haga clic en Claves de cifradoy, a continuación, en Eliminar.Click Encryption Keys, and then click Delete. Haga clic en Aceptar.Click OK.

  3. Reinicie el servicio Servidor de informes de Windows.Restart the Report Server Windows service. En una implementación escalada, repita el procedimiento con todas las instancias del servidor de informes.For a scale-out deployment, do this on all report server instances.

Cómo eliminar claves de cifrado (rskeymmgt)How to delete encryption keys (rskeymmgt)

  1. Ejecute rskeymgmt.exe localmente en el equipo que hospeda el servidor de informes.Run rskeymgmt.exe locally on the computer that hosts the report server. Debe usar el argumento de aplicación -d .You must use the -d apply argument. El siguiente ejemplo ilustra el argumento que debe especificar:The following example illustrates the argument you must specify:

    rskeymgmt -d  
    
  2. Reinicie el servicio Servidor de informes de Windows.Restart the Report Server Windows service. En una implementación escalada, repita el procedimiento con todas las instancias del servidor de informes.For a scale-out deployment, do this on all report server instances.

Cómo volver a especificar valores cifradosHow to re-specify encrypted values

  1. En cada origen de datos compartido se debe volver a escribir la cadena de conexión.For each shared data source, you must retype the connection string.

  2. Para cada informe y origen de datos compartido que utilice credenciales almacenadas, debe volver a escribir el nombre de usuario y la contraseña y luego guardarlos.For each report and shared data source that uses stored credentials, you must retype the user name and password, and then save. Para obtener más información, vea Especificar información de credenciales y conexión para los orígenes de datos de informes en Libros en pantalla de SQL ServerSQL Server .For more information, see Specify Credential and Connection Information for Report Data Sources in SQL ServerSQL Server Books Online.

  3. Para cada suscripción controlada por datos, ábrala y vuelva a escribir las credenciales de la base de datos de suscripciones.For each data-driven subscription, open each subscription and retype the credentials to the subscription database.

  4. Para suscripciones que utilizan datos cifrados (como la extensión de entrega de recurso compartido de archivos y todas las extensiones de entrega de terceros que utilicen cifrado), abra cada suscripción y vuelva a escribir las credenciales.For subscriptions that use encrypted data (this includes the File Share delivery extension and any third-party delivery extension that uses encryption), open each subscription and retype credentials. Las suscripciones que usan entrega por correo electrónico del Servidor de informes no emplean datos cifrados y, por tanto, no les afecta el cambio de clave.Subscriptions that use Report Server e-mail delivery do not use encrypted data and are unaffected by the key change.

Ver tambiénSee Also

Configurar y administrar claves de cifrado (Administrador de configuración de SSRS) Configure and Manage Encryption Keys (SSRS Configuration Manager)
Almacenar datos cifrados del servidor de informes (Administrador de configuración de SSRS)Store Encrypted Report Server Data (SSRS Configuration Manager)