Lenteur du site en raison de la vérification SharePoint certificat STS

Symptômes

Supposons que vous avez une application web qui utilise l’authentification basée sur les revendications dans SharePoint Foundation 2010 ou SharePoint Server 2010. Le SharePoint n’a pas accès à Internet ou le serveur est protégé par un pare-feu dont les ports sont limités. Dans ce cas, les utilisateurs rencontrent par intermittence de longs retards lorsqu’ils effectuent certaines opérations, telles que la connexion au site ou l’opération de recherche. Les utilisateurs peuvent également rencontrer des timeouts HTTP lorsqu’ils effectuent ces opérations.

Cause

SharePoint utilise des certificats pour signer les jetons de sécurité émis par le service d’émission de jeton de sécurité (STS). Comme tous les certificats, la validité du certificat STS doit être vérifiée régulièrement pour s’assurer que le certificat n’a pas été révoqué. Par défaut, le certificat racine de la chaîne n’est pas ajouté au magasin Autorités de certification racines de confiance des serveurs SharePoint serveurs. Pour cette raison, la liste de révocation de certificats (CRL) vérifie que le certificat est effectué sur Internet. Si le serveur CRL en ligne n’est pas accessible à partir du serveur SharePoint pour une raison quelconque, l’opération arrive à terme au bout de 15 secondes par défaut. Même si la validation de la CRL échoue au bout de 15 secondes, la page SharePoint peut toujours être restituer après le délai.

Les échecs de validation de certificat peuvent être suivis en activant la journalisation des événements CAPI2 sur SharePoint serveur. Lorsque la journalisation des événements CAPI2 est activée et que la validation du certificat Internet échoue, les messages d’erreur suivants sont fréquemment indiqués dans le journal des événements CAPI2 :

  • Erreur de chaîne de construction

    ID d’événement : 11
    Catégorie de tâche : chaîne de construction
    subjectName (tiré des détails de l’événement) : SharePoint service d’jetons de sécurité

  • Récupérer un objet à partir d’une erreur réseau

    ID d’événement : 53
    Catégorie de tâche : récupérer l’objet à partir du réseau

    URL (provenant des détails de l’événement) : https://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

Reportez-vous à la section « Plus d’informations » pour plus d’informations sur la façon d’activer la journalisation CAPI2.

Résolution

Pour résoudre ce problème, effectuez l’une des solutions de contournement suivantes :

Solution de contournement 1

Installez le SharePoint d’autorité racine dans le magasin Autorités de certification racines de confiance. Une fois le certificat racine ajouté au magasin de certificats local, la validation du certificat n’est plus effectuée sur Internet. Les étapes ci-dessous entraînent la réussite de la buildChain en trouvant le certificat dans le magasin local, ce qui élimine la nécessité de récupérer un objet à partir du réseau. Les étapes suivantes doivent être effectuées sur chaque serveur SharePoint de la batterie de serveurs pour ajouter le certificat racine au magasin de certificats local :

  1. Exportez SharePoint certificat d’autorité racine en tant que fichier physique (.cer). Démarrez SharePoint 2010 Management Shell en tant qu’administrateur, puis exécutez les commandes Windows PowerShell suivantes :

    $rootCert = (Get-SPCertificateAuthority).RootCertificate   
    $rootCert.Export("Cert") | Set-Content C:\SharePointRootAuthority.cer -Encoding byte
    

    Remarque Cela exporte le certificat racine interne (fichier .cer) pour SharePoint sur le lecteur C. Vous pouvez copier et utiliser ce fichier sur tous les serveurs de la batterie de serveurs pour l’importation sans avoir à exécuter à nouveau les commandes PowerShell.

  2. Importez le SharePoint d’autorité racine dans le magasin Autorités de certification racines de confiance. Pour ajouter le SharePoint d’autorité racine au magasin Autorités de certification racines de confiance, suivez les étapes suivantes :

    Remarque « Administrateurs » est l’appartenance au groupe minimale requise pour effectuer ces étapes.

    1. Appuyez ou cliquez sur Démarrer, tapez mmc dans démarrer la recherche, puis appuyez sur Entrée.
    2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
    3. Sous Les logiciels en snap-in disponibles, cliquez sur Certificats, puis cliquez sur Ajouter.
    4. Sous ce logiciel en snap-in, les certificats sont toujours gérables pour , sélectionnez un compte d’ordinateur, puis cliquez sur Suivant.
    5. Sélectionnez l’ordinateur local, puis cliquez sur Terminer.
    6. Si vous n’avez plus aucun logiciel en snap-in à ajouter à la console, cliquez sur OK.
    7. Dans l’arborescence de la console, double-cliquez sur Certificats.
    8. Cliquez avec le bouton droit sur le magasin Autorités de certification racines de confiance.
    9. Cliquez sur Toutes les tâches, cliquez sur Importer pour importer le certificat, puis suivez les étapes de l’Assistant Importation de certificat.

Solution de contournement 2

Désactivez la mise à jour automatique des certificats racine sur SharePoint serveurs. Pour cela, procédez comme suit :

  1. Sous le nœud Configuration de l’ordinateur dans l’Éditeur de stratégie de groupe local, double-cliquez sur Stratégies.
  2. Double-cliquez sur Windows Paramètres, double-cliquez sur Sécurité Paramètres, puis double-cliquez sur Stratégies de clé publique.
  3. Dans le volet d’informations, double-cliquez sur Validation du chemin d’accès du certificat Paramètres.
  4. Cliquez sur l’onglet Récupération réseau, cochez la case Définir ces paramètres de stratégie, puis cochez la case Mettre à jour automatiquement les certificats dans le programme de certificat racine Microsoft (recommandé).
  5. Cliquez sur OK, puis fermez l’Éditeur de stratégie de groupe local.
  6. Exécutez gpupdate/force pour que la stratégie prenne effet immédiatement.

Remarque Lorsque la mise à jour automatique est désactivée, vous pouvez être obligé de surveiller les nouvelles mises à jour, puis de mettre à jour manuellement l’autorisation de certificat selon les besoins.

Implications de la désactivation des mises à jour automatiques de certificat racine

Il ne doit pas y avoir d’implications spécifiques SharePoint car nous utilisons des certificats auto-signés et nous les gérons nous-mêmes. Les certificats SharePoint ont une expiration, mais il existe une règle d’état d’santé qui surveille cette situation, puis avertit l’administrateur de les mettre à jour ou de les retenter.

L’aspect principal à prendre en compte est pour les autres certificats utilisés sur l’ordinateur (tels que les certificats SSL, les certificats pour la confiance des packages de téléchargement ou pour la stratégie SAFER, etc.) qui sont émis à partir de certificats chaînés à ceux du magasin Autorités de certification racines de confiance.

Informations supplémentaires

Activer et enregistrer le journal CAPI2 à partir de l’interface utilisateur de l’Observateur d’événements

  1. Ouvrez l'Observateur d’événements. Pour ouvrir l'Observateur d'événements, cliquez sur Démarrer, puis sur Panneau de configuration, double-cliquez sur Outils d'administration, puis sur Observateur d'événements.
  2. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, confirmez que l’action affichée est celle que vous souhaitez effectuer, puis cliquez sur Continuer.
  3. Dans le volet console, développez l’Observateur d’événements, développez Journaux des applications et des services, développez Microsoft, développez Windows, puis développez CAPI2.
  4. Vous pouvez désormais effectuer les actions suivantes :
    • Pour activer la journalisation CAPI2, cliquez avec le bouton droit sur Opérationnel, puis sélectionnez Activer le journal.

    • Pour enregistrer le journal dans un fichier, cliquez avec le bouton droit sur Opérationnel, puis sélectionnez Enregistrer les événements sous. Vous pouvez enregistrer le fichier journal au format EVTX (qui peut être ouvert via l’Observateur d’événements) ou au format XML.

    • Pour désactiver la journalisation CAPI2, cliquez avec le bouton droit sur Opérationnel, puis sélectionnez Désactiver le journal.

    • Si des données sont présentes dans le journal avant d’essayer de reproduire le problème, nous vous recommandons d’effacer le journal. Ainsi, seules les données relatives au scénario de problème peuvent être collectées à partir du journal enregistré. Pour effacer le journal, cliquez avec le bouton droit sur Opérationnel, puis sélectionnez Effacer le journal.

    • Pour les diagnostics CAPI2, la taille du journal peut augmenter rapidement et nous vous recommandons d’augmenter la taille du journal à au moins 4 mégaoctets (Mo) pour capturer les événements pertinents. Pour augmenter la taille du journal, cliquez avec le bouton droit sur Opérationnel, puis sélectionnez Propriétés. Dans les propriétés du journal, augmentez la taille maximale du journal.

      Remarque La taille par défaut du journal des événements est de 1 Mo.

Encore besoin d’aide ? Accédez au site de la Communauté SharePoint.