Clés de chiffrement SSRS - Supprimer et recréer des clés de chiffrementSSRS Encryption Keys - Delete and Re-create Encryption Keys

La suppression et la recréation de clés de chiffrement sont des activités qui dépassent le cadre d'une simple opération de maintenance des clés de chiffrement.Deleting and re-creating encryption keys are activities that fall outside of routine encryption key maintenance. Vous effectuez ces tâches en réponse à une menace spécifique pesant sur votre serveur de rapports ou comme ultime recours si vous ne pouvez plus accéder à la base de données du serveur de rapports.You perform these tasks in response to a specific threat to your report server, or as a last resort when you can no longer access a report server database.

  • Recréez la clé symétrique lorsque vous estimez que la sécurité de la clé existante est compromise.Re-create the symmetric key when you believe the existing symmetric key is compromised. Vous pouvez effectuer cette opération régulièrement en tant que mesure de sécurité.You can also re-create the key on a regular basis as a security best practice.

  • Supprimez les clés de chiffrement existantes et le contenu chiffré inutilisable lorsqu'il vous est impossible de restaurer la clé symétrique.Delete existing encryption keys and unusable encrypted content when you cannot restore the symmetric key.

recréation des clés de chiffrementRe-creating Encryption Keys

Si vous avez la preuve que la clé symétrique est connue d'utilisateurs non autorisés ou si votre serveur de rapports a subi une attaque et que vous voulez, par mesure de précaution, réinitialiser la clé symétrique, procédez à une nouvelle création de clé.If you have evidence that the symmetric key is known to unauthorized users, or if your report server has been under attack and you want to reset the symmetric key as a precaution, you can re-create the symmetric key. Cette opération implique un nouveau chiffrement de toutes les valeurs chiffrées à l'aide de la nouvelle valeur.When you re-create the symmetric key, all encrypted values will be re-encrypted using the new value. Si vous exécutez plusieurs serveurs de rapports dans un déploiement évolutif, tous les exemplaires de la clé symétrique seront mis à jour avec cette nouvelle valeur.If you are running multiple report servers in a scale-out deployment, all copies of the symmetric key will be updated to the new value. Le serveur de rapports utilise les clés publiques disponibles pour cette clé symétrique qu'il met à jour pour chaque serveur dans le déploiement.The report server uses the public keys available to it to update the symmetric key for each server in the deployment.

La création d'une nouvelle clé symétrique n'est possible que si le serveur de rapports est en cours de fonctionnement.You can only re-create the symmetric key when the report server is in a working state. Cette opération, ainsi que le nouveau chiffrement de contenu, peuvent perturber les activités du serveur.Re-creating the encryption keys and re-encrypting content disrupts server operations. Vous devez mettre le serveur en mode hors connexion tandis que vous procédez au nouveau chiffrement.You must take the server offline while re-encryption is underway. Aucune demande ne doit être adressée au serveur de rapports durant cette opération.There should be no requests made to the report server during re-encryption.

Vous pouvez utiliser l’outil de configuration de Reporting Services ou l’utilitaire rskeymgmt pour réinitialiser la clé symétrique et les données chiffrées.You can use the Reporting Services Configuration tool or the rskeymgmt utility to reset the symmetric key and encrypted data. Pour plus d’informations sur la création de la clé symétrique, consultez Initialiser un serveur de rapports (Gestionnaire de configuration de SSRS).For more information about how the symmetric key is created, see Initialize a Report Server (SSRS Configuration Manager).

Procédure de recréation des clés de chiffrement (outil de configuration de Reporting Services)How to re-create encryption keys (Reporting Services Configuration Tool)

  1. Désactivez le service web Report Server et l’accès HTTP en modifiant la propriété IsWebServiceEnabled dans le fichier rsreportserver.config.Disable the Report Server Web service and HTTP access by modifying the IsWebServiceEnabled property in the rsreportserver.config file. Cette étape arrête temporairement l'envoi des demandes d'authentification au serveur de rapports sans arrêter complètement le serveur.This step temporarily stops authentication requests from being sent to the report server without completely shutting down the server. Vous devez avoir le service minimal afin de pouvoir recréer les clés.You must have minimal service so that you can recreate the keys.

    Si vous recréez des clés de chiffrement pour un déploiement évolutif de serveurs de rapports, désactivez cette propriété sur toutes les instances du déploiement.If you are recreating encryption keys for a report server scale-out deployment, disable this property on all instances in the deployment.

    1. Ouvrez l’Explorateur Windows et naviguez jusqu’à lecteur:\Program Files\Microsoft SQL Server\instance_serveur_rapports\Reporting Services.Open Windows Explorer and navigate to drive:\Program Files\Microsoft SQL Server\report_server_instance\Reporting Services. Remplacez lecteur par votre lettre de lecteur et instance_serveur_rapports par le nom du dossier qui correspond à l’instance de serveur de rapports pour laquelle vous souhaitez désactiver le service web et l’accès HTTP.Replace drive with your drive letter and report_server_instance with the folder name that corresponds to the report server instance for which you want to disable the Web service and HTTP access. Par exemple, C:\Program Files\Microsoft SQL Server\MSRS10_50.MSSQLSERVER\Reporting Services.For example, C:\Program Files\Microsoft SQL Server\MSRS10_50.MSSQLSERVER\Reporting Services.

    2. Ouvrez le fichier rsreportserver.config.Open the rsreportserver.config file.

    3. Pour la propriété IsWebServiceEnabled , spécifiez False, puis enregistrez vos modifications.For the IsWebServiceEnabled property, specify False, and then save your changes.

  2. Démarrez l'outil de configuration de Reporting Services et connectez-vous à l'instance de serveur de rapports à configurer.Start the Reporting Services Configuration tool, and then connect to the report server instance you want to configure.

  3. Dans la page Clés de chiffrement, cliquez sur Modifier.On the Encryption Keys page, click Change. Cliquez sur OK.Click OK.

  4. Redémarrez le service Windows Report Server.Restart the Report Server Windows service. Si vous recréez des clés de chiffrement pour un déploiement évolutif, redémarrez le service sur toutes les instances.If you are recreating encryption keys for a scale-out deployment, restart the service on all instances.

  5. Réactivez le service web et l’accès HTTP en modifiant la propriété IsWebServiceEnabled dans le fichier rsreportserver.config.Re-enable the Web service and HTTP access by modifying the IsWebServiceEnabled property in the rsreportserver.config file. Effectuez cette action pour toutes les instances si vous utilisez un déploiement évolutif.Do this for all instances if you are working with a scale out deployment.

Procédure de recréation des clés de chiffrement (rskeymgmt)How to re-create encryption keys (rskeymgmt)

  1. Désactivez le service Web Report Server et l'accès HTTP.Disable the Report Server Web service and HTTP access. Suivez les instructions de la procédure précédente pour interrompre les opérations du service Web.Use the instructions in the previous procedure to stop Web service operations.

  2. Exécutez le fichier rskeymgmt.exe localement sur l'ordinateur qui héberge le serveur de rapports.Run rskeymgmt.exe locally on the computer that hosts the report server. Utilisez l’argument -s pour réinitialiser la clé symétrique.Use the -s argument to reset the symmetric key. Aucun autre argument n'est obligatoire :No other arguments are required:

    rskeymgmt -s  
    
  3. Redémarrez le service Windows Reporting Services.Restart the Reporting Services Windows service.

Suppression du contenu chiffré inutilisableDeleting Unusable Encrypted Content

Si, pour une raison ou pour une autre, vous ne pouvez pas restaurer la clé de chiffrement, le serveur de rapports sera dans l'incapacité totale de déchiffrer les données chiffrées avec cette clé pour les utiliser.If for some reason you cannot restore the encryption key, the report server will never be able to decrypt and use any data that is encrypted with that key. Pour que le serveur de rapports puisse fonctionner de nouveau, vous devez supprimer les valeurs chiffrées qui sont actuellement stockées dans la base de données du serveur de rapports et redéfinir manuellement les valeurs dont vous avez besoin.To return the report server to a working state, you must delete the encrypted values that are currently stored in the report server database and then manually re-specify the values you need.

La suppression des clés de chiffrement efface toutes les informations de clé symétrique de la base de données du serveur de rapports et supprime tout contenu chiffré.Deleting the encryption keys removes all symmetric key information from the report server database and deletes any encrypted content. Les données non chiffrées sont intactes, seul le contenu chiffré est supprimé.All unencrypted data is left intact; only encrypted content is removed. Lorsque vous détruisez les clés de chiffrement, le serveur de rapports se réinitialise automatiquement en ajoutant une nouvelle clé symétrique.When you delete the encryption keys, the report server re-initializes itself automatically by adding a new symmetric key. Les événements suivants se produisent lorsque vous supprimez des données chiffrées :The following occurs when you delete encrypted content:

  • Les chaînes de connexion des sources de données partagées sont supprimées.Connection strings in shared data sources are deleted. Les utilisateurs qui exécutent des rapports reçoivent le message d'erreur suivant : « La propriété ConnectionString n'a pas été initialisée ».Users who run reports get the error "The ConnectionString property has not been initialized."

  • Les informations d'identification sont supprimées.Stored credentials are deleted. Les rapports et les sources de données partagées sont reconfigurées pour utiliser les informations d'identification qui sont demandées.Reports and shared data sources are reconfigured to use prompted credentials.

  • Les rapports basés sur des modèles (et qui font appel à des sources de données partagées configurées à l'aide d'informations d'identification stockées ou non) ne s'exécutent plus.Reports that are based on models (and require shared data sources configured with stored or no credentials) will not run.

  • Les abonnements sont désactivés.Subscriptions are deactivated.

Le contenu chiffré qui est supprimé est irrémédiablement perdu.Once you delete encrypted content, you cannot recover it. Vous devez spécifier à nouveau des chaînes de connexion et des informations d'identification stockées, puis activer les abonnements.You must re-specify connection strings and stored credentials, and you must activate subscriptions.

Vous pouvez utiliser l’outil de configuration de Reporting Services ou l’utilitaire rskeymgmt pour supprimer ces valeurs.You can use the Reporting Services Configuration tool or the rskeymgmt utility to remove the values.

Procédure de suppression des clés de chiffrement (outil de configuration de Reporting Services)How to delete encryption keys (Reporting Services Configuration Tool)

  1. Démarrez l'outil de configuration de Reporting Services et connectez-vous à l'instance de serveur de rapports à configurer.Start the Reporting Services Configuration tool, and then connect to the report server instance you want to configure.

  2. Cliquez sur Clés de chiffrement, puis sur Supprimer.Click Encryption Keys, and then click Delete. Cliquez sur OK.Click OK.

  3. Redémarrez le service Windows Report Server.Restart the Report Server Windows service. Pour un déploiement évolutif, effectuez cette opération sur toutes les instances de serveurs de rapports.For a scale-out deployment, do this on all report server instances.

Procédure de suppression des clés de chiffrement (rskeymmgt)How to delete encryption keys (rskeymmgt)

  1. Exécutez le fichier rskeymgmt.exe localement sur l'ordinateur qui héberge le serveur de rapports.Run rskeymgmt.exe locally on the computer that hosts the report server. Vous devez utiliser l’argument d’application -d .You must use the -d apply argument. L'exemple suivant illustre l'argument que vous devez spécifier :The following example illustrates the argument you must specify:

    rskeymgmt -d  
    
  2. Redémarrez le service Windows Report Server.Restart the Report Server Windows service. Pour un déploiement évolutif, effectuez cette opération sur toutes les instances de serveurs de rapports.For a scale-out deployment, do this on all report server instances.

Procédure de redéfinition des valeurs chiffréesHow to re-specify encrypted values

  1. Indiquez de nouveau la chaîne de connexion de chaque source de données partagée.For each shared data source, you must retype the connection string.

  2. Pour chaque rapport et chaque source de données partagée utilisant des informations d'identification stockées, vous devez retaper le nom d'utilisateur et le mot de passe, puis les enregistrer.For each report and shared data source that uses stored credentials, you must retype the user name and password, and then save. Pour plus d’informations, consultez Spécifier des informations d’identification et de connexion pour les sources de données de rapport.For more information, see Specify Credential and Connection Information for Report Data Sources.

  3. Pour les abonnements pilotés par les données, ouvrez chaque abonnement et retapez les informations d'identification dans la base de données d'abonnement.For each data-driven subscription, open each subscription and retype the credentials to the subscription database.

  4. Pour les abonnements utilisant des données chiffrées (ce qui comprend l'extension de remise dans le partage de fichiers et toute extension de remise créées par d'autres développeurs qui utilisent le chiffrement), ouvrez chaque abonnement et retapez les informations d'identification.For subscriptions that use encrypted data (this includes the File Share delivery extension and any third-party delivery extension that uses encryption), open each subscription and retype credentials. Les abonnements utilisant la remise par messagerie électronique du serveur de rapports n'ont pas recours aux données chiffrées, ils ne sont donc pas concernés par les modifications apportées à la clé.Subscriptions that use Report Server e-mail delivery do not use encrypted data and are unaffected by the key change.

Voir aussiSee Also

Configurer et gérer des clés de chiffrement (Gestionnaire de configuration de SSRS) Configure and Manage Encryption Keys (SSRS Configuration Manager)
Stocker des données chiffrées du serveur de rapports (Gestionnaire de configuration de SSRS)Store Encrypted Report Server Data (SSRS Configuration Manager)