Configurare le connessioni TLS in un server di report in modalità nativa

  • Articolo

Si applica a:✅ SQL Server 2016 (13.x) Reporting Services e versioni successive ✅ Server di report di Power BI

La modalità nativa di Reporting Services usa il servizio SSL (Secure Sockets Layer) HTTP per stabilire connessioni crittografate a un server di report. Il protocollo Transport Layer Security (TLS) era noto in precedenza come Secure Sockets Layer (SSL). Se si dispone di un file di certificato (con estensione cer) installato in un archivio certificati locale nel server di report, è possibile associare il certificato a una prenotazione di URL di Reporting Services per supportare le connessioni al server di report tramite un canale crittografato.

Suggerimento

Per altre informazioni sulla modalità SharePoint di Reporting Services, vedere la documentazione di SharePoint. Ad esempio, Come abilitare TLS in un'applicazione Web SharePoint 2010.

Poiché anche Internet Information Services (IIS) usa il servizio SSL HTTP, si verificano problemi di interoperabilità significativi di cui è necessario tenere conto se si sceglie di eseguire IIS e Reporting Services nello stesso computer. Esaminare la sezione Problemi di interoperabilità con IIS per indicazioni su come risolvere tali problemi.

Requisiti dei certificati server

È necessario che nel computer sia installato un certificato server. I certificati client non sono supportati. In Reporting Services non sono disponibili funzionalità per la richiesta, la generazione, il download o l'installazione di un certificato. Windows Server 2012 e versioni successive includono uno snap-in Certificati che è possibile usare per richiedere un certificato da un'autorità di certificazione attendibile.

A scopo di test, è possibile generare un certificato in locale. Se si usano l'utilità MakeCert e il comando di esempio come modello, assicurarsi di specificare il nome del server come host e di rimuovere tutte le interruzioni di riga prima di eseguire il comando. Se si esegue il comando in una finestra DOS, può essere necessario aumentare le dimensioni del buffer della finestra per consentire l'inserimento dell'intero comando.

Se si eseguono IIS e Reporting Services nello stesso computer, è possibile usare l'applicazione console di gestione IIS per ottenere il certificato installato nel computer. IIS Manager include opzioni per la creazione e l'assemblaggio di un file di richiesta di certificato (con estensione crt) per l'elaborazione successiva da parte di un'autorità di certificazione attendibile. L'autorità di certificazione utilizzata genererà e restituirà un file di certificato (con estensione cer) e lo rimanderà indietro. È possibile utilizzare la console di gestione IIS per installare il file di certificato nell'archivio locale. Per altre informazioni, vedere Uso di SSL per crittografare dati riservati) nel sito Microsoft Technet.

Problemi di interoperabilità con IIS

La presenza di IIS nello stesso computer di Reporting Services influirà in modo significativo sulle connessioni TLS a un server di report:

  • Se IIS è installato, è necessario che il servizio World Wide Web (W3SVC) sia sempre in esecuzione. Il servizio SSL HTTP crea una dipendenza da IIS se rileva che IIS è in esecuzione. La dipendenza implica che il servizio World Wide Web (W3SVC) deve essere in esecuzione ogni volta che IIS e Reporting Services vengono installati nello stesso computer e vengono configurati gli URL del server di report per le connessioni TLS.

  • La disinstallazione di IIS può interrompere temporaneamente il servizio per un URL del server di report associato a TLS. Per questo motivo, si consiglia di riavviare il computer dopo la disinstallazione di IIS.

    Il riavvio del computer è necessario per cancellare tutte le sessioni TLS dalla cache. In alcuni sistemi operativi, le sessioni TLS vengono memorizzate nella cache per un massimo di 10 ore. In questo caso, gli URL https:// continuano a funzionare anche dopo la rimozione dell'associazione TLS dalla prenotazione URL in HTTP.SYS. Con il riavvio del computer vengono chiuse tutte le connessioni aperte che utilizzano il canale.

Associare TLS a una prenotazione URL di Reporting Services

Nei passaggi seguenti non sono incluse le istruzioni per la richiesta, la generazione, il download o l'installazione di un certificato. È necessario che un certificato sia installato e disponibile per l'uso. Le proprietà del certificato specificate, l'autorità di certificazione da cui lo si ottiene e gli strumenti e le utilità che si utilizzano per richiedere e installare il certificato sono di responsabilità dell'utente.

Per associare il certificato, è possibile usare lo strumento di configurazione di Reporting Services. Se il certificato è installato correttamente nell'archivio del computer locale, lo strumento di configurazione di Reporting Services lo rileva e lo visualizza nell'elenco Certificati SSL nelle pagine URL servizio Web e URL portale Web.

Configurare un URL del server di report per TLS

  1. Avviare lo strumento di configurazione di Reporting Services e connettersi al server di report.

  2. Selezionare URL servizio Web.

  3. Espandere l'elenco di certificati TLS/SSL. Reporting Services consente di rilevare i certificati di autenticazione server nell'archivio locale. Se è stato installato un certificato che non viene visualizzato nell'elenco, può essere necessario riavviare il servizio. A tale scopo, è possibile usare i pulsanti Arresta e Avvia nella pagina Stato server di report dello strumento di configurazione di Reporting Services (pagina principale).

  4. Selezionare il certificato.

  5. Selezionare Applica.

  6. Selezionare l'URL per verificarne il funzionamento.

La configurazione del database del server di report è un requisito per testare l'URL. Se il database del server di report non è ancora stato creato, completare questo passaggio prima di testare l'URL.

Le prenotazioni URL per l'URL del portale Web e l'URL del servizio Web ReportServer vengono configurate in modo indipendente. Se si vuole configurare anche l'accesso al portale Web tramite un canale crittografato con TLS, continuare con i passaggi seguenti:

  1. Immettere l'URL del portale Web.

  2. Seleziona Avanzate.

  3. In Più identità HTTPS per la funzionalità Reporting Services attualmente selezionata selezionare Aggiungi.

  4. Selezionare il certificato, selezionare OK e quindi selezionare Applica.

  5. Testare l'URL per verificarne il funzionamento.

Modalità di archiviazione delle associazioni certificato

Le associazioni certificato vengono archiviate in HTTP.SYS. Una rappresentazione delle associazioni definite viene archiviata anche nella sezione URLReservations del file RSReportServer.config. Le impostazioni nel file di configurazione sono solo una rappresentazione dei valori effettivi specificati altrove. Non modificare i valori direttamente nel file di configurazione. Le impostazioni di configurazione verranno visualizzate nel file solo dopo che è stato utilizzato lo strumento di configurazione di Reporting Services o il provider WMI (Windows Management Instrumentation, Strumentazione gestione Windows) del server di report per associare un certificato.

Nota

Se si configura un'associazione con un certificato TLS/SSL in Reporting Services e successivamente si intende rimuovere il certificato dal computer, assicurarsi di rimuovere l'associazione da Reporting Services prima di rimuovere il certificato dal computer. In caso contrario, l'associazione non potrà essere rimossa tramite lo strumento di configurazione di Reporting Services o WMI e verrà visualizzato l'errore "Parametro non valido". Se è già stato rimosso il certificato dal computer, è possibile utilizzare lo strumento Httpcfg.exe per rimuovere l'associazione da HTTP.SYS. Per ulteriori informazioni su Httpcfg.exe, vedere la documentazione di Windows.

Le associazioni TLS sono una risorsa condivisa in Microsoft Windows. Le modifiche apportate da Gestione configurazione Reporting Services o da altri strumenti come Gestione IIS possono influire su altre applicazioni presenti nello stesso computer. Per modificare le associazioni è quindi consigliabile utilizzare lo stesso strumento adoperato per la creazione. Ad esempio, se le associazioni TLS sono state create mediante Gestione configurazione, è consigliabile usare questo stesso strumento per gestirne il ciclo di vita. Lo stesso concetto vale per la creazione e la gestione delle associazioni mediante Gestione IIS. Se IIS viene installato nel computer prima di Reporting Services, è consigliabile esaminare la configurazione TLS in IIS prima di configurare Reporting Services.

Se si rimuovono le associazioni TLS per Reporting Services mediante Gestione configurazione del server di report, TLS potrebbe non funzionare più per i siti Web di un server in cui è in esecuzione Internet Information Services (IIS) o un altro server HTTP.SYS. Gestione configurazione Reporting Services rimuove la chiave del registro di sistema seguente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo\0.0.0.0:443 Quando questa chiave del Registro di sistema viene rimossa, viene rimossa anche l'associazione TLS per IIS. Senza questa associazione, TLS non viene supportato per il protocollo HTTPS. Per diagnosticare questo problema, usare Gestione IIS o l'utilità della riga di comando HTTPCFG.exe. Per risolvere il problema, ripristinare l'associazione TLS per i siti Web tramite Gestione IIS. Per evitare questo problema in futuro, usare Gestione IIS per rimuovere le associazioni TLS e quindi usare Gestione IIS per ripristinare l'associazione per i siti Web desiderati. Per altre informazioni, vedere l'articolo della Knowledge Base Mancato funzionamento di SSL dopo la rimozione di un'associazione SSL (https://support.microsoft.com/kb/956209/n).

Contenuto correlato

Autenticazione con il server di report
Configurare e amministrare un server di report (modalità nativa SSRS)
File di configurazione RsReportServer.config
Configurare gli URL del server di report (Gestione configurazione del server di report)