• [アーティクル]

暗号化キーの削除と再作成

暗号化キーの削除および再作成は、日常の暗号化キー メンテナンスには該当しない作業です。レポート サーバーに対する特定の脅威への対処、またはレポート サーバー データベースにアクセスできなくなったときの最後の手段としてこの作業を行ってください。

  • 既存の対称キーに障害が発生したと考えられる場合は対称キーを再作成します。セキュリティを重視する場合は、定期的にキーを再作成することもできます。

  • 対称キーを復元できない場合は、既存の暗号化キーと使用できない暗号化コンテンツを削除します。

暗号化キーの再作成

対称キーが不正なユーザーに知られた場合、またはレポート サーバーが攻撃を受けたために予防策として対称キーの再設定が必要な場合、対称キーを再作成することができます。対称キーを再作成すると、暗号化されたすべての値が新しい値で再暗号化されます。スケールアウト配置で複数のレポート サーバーを実行している場合、対称キーのすべてのコピーが新しい値に更新されます。レポート サーバーは利用可能な公開キーを使用して、配置を構成する各サーバーの対称キーを更新します。

対称キーを再作成できるのは、レポート サーバーが動作中の場合のみです。暗号化キーの再作成およびコンテンツの再暗号化を実行すると、サーバーの処理が中断されます。再暗号化の実行中はサーバーをオフラインにする必要があります。再暗号化中にレポート サーバーに対して要求を送信することはできません。

対称キーおよび暗号化データを再設定するには、Reporting Services 構成ツールまたは rskeymgmt ユーティリティを使用します。対称キーの作成方法の詳細については、「レポート サーバーの初期化」を参照してください。

暗号化キーの再作成方法 (Reporting Services 構成ツール)

  1. rsreportserver.confi ファイルで IsWebServiceEnabled プロパティを変更することにより、レポート サーバー Web サービスおよび HTTP アクセスを無効にします。この手順を実行すると、レポート サーバーへの認証要求の送信が一時的に停止されますが、レポート サーバーが完全にシャットダウンされることはありません。キーを再作成できるように最小限のサービスが必要です。

    レポート サーバーのスケールアウト配置に対する暗号化キーを再作成する場合、配置内のすべてのインスタンスでこのプロパティを無効にします。

    1. Windows エクスプローラを開き、drive:\Program Files\Microsoft SQL Server\report_server_instance\Reporting Services に移動します。drive は使用しているコンピュータのドライブ文字に置き換え、report_server_instance は Web サービスおよび HTTP アクセスを無効にするレポート サーバー インスタンスに対応するフォルダ名に置き換えます。たとえば、C:\Program Files\Microsoft SQL Server\MSRS10.MSSQLSERVER\Reporting Services のようになります。

    2. rsreportserver.config ファイルを開きます。

    3. IsWebServiceEnabled プロパティに対して False を指定し、変更を保存します。

  2. Reporting Services 構成ツールを起動して、構成するレポート サーバー インスタンスに接続します。

  3. [暗号化キー] ページで、[変更] をクリックします。[OK] をクリックします。

  4. レポート サーバー Windows サービスを再開します。レポート サーバーのスケールアウト配置に対する暗号化キーを再作成する場合、すべてのインスタンスでサービスを再起動します。

  5. rsreportserver.confi ファイルで IsWebServiceEnabled プロパティを変更することにより、レポート サーバー Web サービスおよび HTTP アクセスを再び有効にします。スケールアウト配置の場合は、すべてのインスタンスについてこの作業を行います。

暗号化キーの再作成方法 (rskeymgmt)

  1. レポート サーバー Web サービスおよび HTTP アクセスを無効にします。上記の手順に従って Web サービスの操作を停止します。

  2. レポート サーバーをホストするコンピュータのローカルで rskeymgmt.exe を実行します。-s 引数を指定して対称キーを再設定します。他の引数は必要ありません。

    rskeymgmt -s

  3. Windows サービスを再起動して、Web サービスの操作を有効にします。

使用できない暗号化コンテンツの削除

何らかの理由で暗号化キーを復元できない場合、レポート サーバーはこのキーによって暗号化されたデータの暗号化を解除して使用することができません。レポート サーバーを動作中の状態に戻すには、レポート サーバー データベースに格納されている暗号化された値を削除して、必要な値を手動で再指定する必要があります。

暗号化キーを削除すると、対称キーの情報がすべてレポート サーバー データベースから削除され、また暗号化されたコンテンツもすべて削除されます。暗号化されていないデータはそのまま残ります。削除されるのは暗号化されたコンテンツだけです。暗号化キーを削除した場合、レポート サーバーは新しい対称キーを追加することでレポート サーバー自体を自動的に再初期化します。暗号化されたコンテンツを削除すると、以下の処理が実行されます。

  • 共有データ ソースの接続文字列が削除されます。レポートを実行しているユーザーに対して "ConnectionString プロパティが初期化されていません。" というエラーが表示されます。

  • 保存されている資格情報が削除されます。レポートおよび共有データ ソースは、要求された資格情報を使用するように再構成されます。

  • モデルを基にしたレポートは実行されません (また、保存されている資格情報を使用するか、または資格情報を使用しないように構成された共有データ ソースを必要とするレポートも実行されません)。

  • サブスクリプションが非アクティブになります。

暗号化されたコンテンツをいったん削除したら、そのコンテンツを復旧することはできません。接続文字列および保存された資格情報を再指定して、サブスクリプションをアクティブにする必要があります。

値を削除するには、Reporting Services 構成ツールまたは rskeymgmt ユーティリティを使用します。

暗号化キーの削除方法 (Reporting Services 構成ツール)

  1. Reporting Services 構成ツールを起動して、構成するレポート サーバー インスタンスに接続します。

  2. [暗号化キー] をクリックし、[削除] をクリックします。[OK] をクリックします。

  3. レポート サーバー Windows サービスを再開します。スケールアウト配置の場合は、すべてのレポート サーバー インスタンスについてこの作業を行います。

暗号化キーの削除方法 (rskeymmgt)

  1. レポート サーバーをホストするコンピュータのローカルで rskeymgmt.exe を実行します。削除用の -d 引数を使用する必要があります。指定する必要がある引数の例を次に示します。

    rskeymgmt -d

  2. レポート サーバー Windows サービスを再開します。スケールアウト配置の場合は、すべてのレポート サーバー インスタンスについてこの作業を行います。

暗号化された値を再指定する方法

  1. 各共有データ ソースに対して、接続文字列を再入力する必要があります。

  2. 保存された資格情報を使用するレポートおよび共有データ ソースごとに、ユーザー名とパスワードを再入力して、これらの情報を保存する必要があります。詳細については、「レポート データ ソースに関する資格情報と接続情報の指定」を参照してください。

  3. 各データ ドリブン サブスクリプションを開いて、資格情報をサブスクリプション データベースに再入力します。

  4. 暗号化されたデータ (ファイル共有の配信拡張機能や暗号化を使用するサードパーティ製の配信拡張機能など) を使用する各サブスクリプションを開いて、資格情報を再入力します。レポート サーバーの電子メール配信を使用するサブスクリプションでは、暗号化されたデータが使用されないため、キーの変更による影響を受けません。