Configurar conexões TLS em um servidor de relatório no modo nativoConfigure TLS connections on a native mode report server

APLICA-SE A:APPLIES TO: SQL Server 2016 Reporting Services e posteriores Servidor de Relatórios do Power BI SQL Server 2016 Reporting Services e posteriores Servidor de Relatórios do Power BI

Reporting ServicesReporting Services O modo Nativo usa o serviço HTTP SSL (protocolo SSL) para estabelecer conexões criptografadas com um servidor de relatório.Native mode uses the HTTP SSL (Secure Sockets Layer) service to establish encrypted connections to a report server. O protocolo TLS era anteriormente conhecido como protocolo SSL.Transport Layer Security (TLS) was previously known as Secure Sockets Layer (SSL). Se você tiver um arquivo de certificado (.cer) instalado em um repositório de certificados local no computador do servidor de relatório, poderá associá-lo a uma reserva de URL do Reporting ServicesReporting Services para dar suporte a conexões do servidor de relatório por meio de um canal criptografado.If you have certificate (.cer) file installed in a local certificate store on the report server computer, you can bind the certificate to a Reporting ServicesReporting Services URL reservation to support report server connections through an encrypted channel.

Dica

Se você estiver usando o modo do SharePoint do Reporting ServicesReporting Services , consulte a documentação do SharePoint para obter mais informações.If you are using Reporting ServicesReporting Services SharePoint mode, see SharePoint documentation for more information. Por exemplo, Como habilitar o TLS em um aplicativo Web do SharePoint 2010.For example How to enable TLS on a SharePoint 2010 web application.

Como o IIS (Serviços de Informações da Internet) também usa HTTP SSL, existem problemas de interoperabilidade consideráveis que você deve considerar se executa o IIS e o Reporting ServicesReporting Services no mesmo computador.Because Internet Information Services (IIS) also uses HTTP SSL, there are significant interoperability issues that you must account for if you run IIS and Reporting ServicesReporting Services on the same computer. Leia a seção Problemas de interoperabilidade com IIS para obter orientação sobre como lidar com esses problemas.Be sure to review the Interoperability Issues with IIS section for guidance on how to address these issues.

Requisitos de certificado do servidorServer certificate requirements

Deve haver um certificado de servidor instalado no computador (não há suporte para certificados de cliente).You must have a server certificate installed on the computer (client certificates are not supported). O Reporting Services não fornece funcionalidade de solicitação, geração, download ou instalação de um certificado.Reporting Services does not provide functionality for requesting, generating, downloading, or installing a certificate. O Windows Server 2012 e posterior fornece um snap-in de Certificados que pode ser usado para solicitar um certificado de uma autoridade de certificação confiável.Windows Server 2012 and later provide a Certificates snap-in that you can use to request a certificate from a trusted certificate authority.

Para fins de teste, você pode gerar um certificado localmente.For testing purposes, you can generate a certificate locally. Se você usar o utilitário MakeCert e o comando de exemplo como modelo, especifique o nome do seu servidor como o host e remova todas as quebras de linha antes de executar o comando.If you use the MakeCert utility and the sample command as a template, be sure to specify your server name as the host and remove all line breaks before running the command. Caso execute o comando em uma janela do DOS, poderá ser necessário aumentar o tamanho do buffer da janela para acomodar o comando inteiro.If you run the command in a DOS window, you might need to increase the buffer size of the window to accommodate the entire command.

Se você estiver executando o IIS e o Reporting ServicesReporting Services em conjunto no mesmo computador, poderá usar o aplicativo de console Gerenciador do IIS para obter o certificado instalado em seu computador.If you are running IIS and Reporting ServicesReporting Services together on the same computer, you can use the IIS Manager console application to get the certificate installed on your computer. O Gerenciador do IIS inclui opções para criar e empacotar um arquivo de solicitação de certificado (.crt) para processamento posterior por uma autoridade de certificação confiável.IIS Manager includes options for creating and packaging a certificate request (.crt) file for subsequent processing by a trusted certificate authority. A autoridade de certificação que você está usando irá gerar um arquivo de certificado (.cer) e o enviará de volta para você.The certificate authority that you are using will generate a certificate (.cer) file and send it back to you. Você pode usar o Console de Gerenciamento do IIS para instalar o arquivo de certificado no repositório local.You can use IIS Management console to install the certificate file in the local store. Para obter mais informações, consulte o tópico sobre como usar SSL para criptografar dados confidenciais no Technet.For more information, see Using SSL to Encrypt Confidential Data on Technet.

Problemas de interoperabilidade com o IISInteroperability issues with IIS

A presença do IIS no mesmo computador que o Reporting ServicesReporting Services afetará significativamente as conexões TLS com um servidor de relatório:The presence of IIS on the same computer as Reporting ServicesReporting Services will significantly affect TLS connections to a report server:

  • Se o IIS estiver instalado, o serviço World Wide Web (W3SVC) sempre deverá estar em execução.If IIS is installed, the World Wide Web (W3SVC) service must always be running. O serviço HTTP SSL criará uma dependência do IIS caso detecte que ele está em execução.The HTTP SSL service will make a dependency on IIS if it detects that IIS is running. Isso significa que o serviço W3SVC (World Wide Web) deverá estar em execução sempre que o IIS e o Reporting ServicesReporting Services estiverem instalados no mesmo computador e que você deve configurar URLs de servidor de relatório para conexões TLS.This means that the World Wide Web service (W3SVC) must be running whenever IIS and Reporting ServicesReporting Services are installed on the same computer and you are configuring report server URLs for TLS connections.

  • A desinstalação do IIS pode interromper o serviço temporariamente em uma URL de servidor de relatório associada por TLS.Uninstalling IIS can temporarily disrupt service to a TLS-bound report server URL. Por esse motivo, recomendamos que você reinicie o computador após a desinstalação do IIS.For this reason, it is recommended that you restart the computer after you uninstall IIS.

    A reinicialização do computador é necessária para apagar todas as sessões TLS do cache.Rebooting the computer is necessary to clear all TLS sessions from cache. Alguns sistemas operacionais armazenam as sessões TLS em cache por até 10 horas, fazendo com que uma URL https:// continue a funcionar mesmo depois que a associação TLS tenha sido removida da reserva de URL em HTTP.SYS.Some operating systems cache TLS sessions up to 10 hours, causing an https:// URL to continue to work even after the TLS binding has been removed from the URL reservation in HTTP.SYS. A reinicialização do computador fecha todas as conexões abertas que usam o canal.Rebooting the computer closes any open connections that use the channel.

Associar o TLS a uma reserva de URL dos serviços de relatórioBind TLS to a reporting services URL reservation

As etapas a seguir não incluem instruções sobre como solicitar, gerar, baixar ou instalar um certificado.The following steps do not include instructions for requesting, generating, downloading, or installing a certificate. Você deve ter um certificado instalado e disponível para uso.You must have a certificate installed and available to use. As propriedades do certificado especificadas, a autoridade de certificação da qual ele é obtido e as ferramentas e os utilitários que você usa para instalar o certificado são os de sua preferência.The certificate properties that you specify, the certificate authority you obtain it from, and the tools and utilities you use to request and install the certificate are up to you.

Você pode usar a ferramenta Configuração do Reporting ServicesReporting Services para associar o certificado.You can use the Reporting ServicesReporting Services Configuration tool to bind the certificate. Se o certificado estiver instalado corretamente no repositório do computador local, a ferramenta Configuração do Reporting ServicesReporting Services o detectará e exibirá na lista Certificados SSL das páginas URL do Serviço da Web e URL do Portal da Web.If the certificate is installed correctly in the local computer store, the Reporting ServicesReporting Services Configuration tool will detect it and display it in the SSL Certificates list on the Web Service URL and Web Portal URL pages.

Para configurar a URL de um servidor de relatório para TLSTo configure a report server URL for TLS

  1. Inicie a ferramenta Configuração do Reporting Services e conecte-se ao servidor de relatório.Start the Reporting Services Configuration tool and connect to the report server.

  2. Selecione URL do Serviço Web.Select Web Service URL.

  3. Expanda a lista de certificados TLS/SSL.Expand the list of TLS/SSL Certificates. Reporting ServicesReporting Services detecta certificados de autenticação de servidor no repositório local.detects server authentication certificates in the local store. Se você instalou um certificado mas ele não aparece na lista, talvez seja necessário reiniciar o serviço.If you installed a certificate and you do not see it in the list, you might need to restart the service. Para reiniciar o serviço, use os botões Parar e Iniciar da página Status do Servidor de Relatório na ferramenta Configuração do Reporting Services (página superior).You can use the Stop and Start buttons on the Report Server Status page in the Reporting Services Configuration tool to restart the service (top page).

  4. Selecione o certificado.Select the certificate.

  5. Clique em Aplicar.Click Apply.

  6. Clique na URL para verificar se está funcionando.Click the URL to verify it works.

A configuração de banco de dados do servidor de relatório é um requisito para testar a URL.Report server database configuration is a requirement for testing the URL. Se você ainda não criou o banco de dados do servidor de relatório, faça-o antes de testar a URL.If you have not yet created the report server database, do so before testing the URL.

As reservas de URL da URL do Portal da Web e da URL dos Serviços Web do Servidor de Relatórios são configuradas de maneira independente.URL reservations for Web Portal URL and the Report Server Web Services URL are configured independently. Se você também quiser configurar o acesso ao portal da Web por meio de um canal criptografado por TLS, continue com as próximas etapas:If you want to also configure the web portal access through a TLS-encrypted channel, continue with the following steps:

  1. Acesse a URL do portal da Web.Access the Web Portal URL.

  2. Selecione Avançado.Select Advanced.

  3. Em Múltiplas Identidades HTTPS para o recurso Reporting Services atual, selecione Adicionar.In Multiple HTTPS Identities for the currently Reporting Service feature, select Add.

  4. Selecione o certificado, selecione OK e selecione Aplicar.Select the certificate, select OK, and then select Apply.

  5. Teste a URL para verificar se está funcionando.Test the URL to verify it works.

Como as associações de certificado são armazenadasHow certificate bindings are stored

As associações de certificado serão armazenadas em HTTP.SYS.Certificate bindings will be stored in HTTP.SYS. Uma representação das associações definidas também será armazenada na seção URLReservations do arquivo RSReportServer.config.A representation of the bindings you defined will also be stored in the URLReservations section of the RSReportServer.config file. As configurações no arquivo de configuração são apenas uma representação dos valores reais especificados em outros lugares.The settings in the configuration file are only a representation of actual values that are specified elsewhere. Não modifique os valores diretamente no arquivo de configuração.Do not modify the values in the configuration file directly. Os parâmetros de configuração só serão exibidos no arquivo depois que você usar a ferramenta Configuração do Reporting ServicesReporting Services ou o provedor WMI do Servidor de Relatório para associar um certificado.The configuration settings will appear in the file only after you use the Reporting ServicesReporting Services Configuration tool or the Report Server Windows Management Instrumentation (WMI) provider to bind a certificate.

Observação

Se você configurar uma associação com um certificado TLS/SSL no Reporting ServicesReporting Services e depois quiser remover o certificado do computador, não se esqueça de remover a associação do Reporting ServicesReporting Services antes de remover o certificado do computador.If you configure a binding with a TLS/SSL certificate in Reporting ServicesReporting Services and you later want to remove the certificate from the computer, make sure to remove the binding from Reporting ServicesReporting Services before you remove the certificate from the computer. Caso contrário, você não poderá remover a associação usando a ferramenta Configuração do Reporting ServicesReporting Services ou WMI, e receberá um erro de "Parâmetro inválido".Otherwise, you will be unable to remove the binding by using the Reporting ServicesReporting Services Configuration tool or WMI and you will receive an "Invalid parameter" error. Caso você já tenha removido o certificado do computador, use a ferramenta Httpcfg.exe para remover a associação de HTTP.SYS.If you have already removed the certificate from the computer, you can use the Httpcfg.exe tool to remove the binding from HTTP.SYS. Para obter mais informações sobre Httpcfg.exe, consulte a documentação de produto do Windows.For more information about Httpcfg.exe, see the Windows product documentation.

As associações TLS são um recurso compartilhado no Microsoft Windows.TLS bindings are a shared resource in Microsoft Windows. As alterações feitas pelo Gerenciador de Configurações do Reporting ServicesReporting Services ou outras ferramentas como o Gerenciador do IIS podem afetar outros aplicativos no mesmo computador.Changes made by Reporting ServicesReporting Services Configuration Manager or other tools like IIS Manager can impact other applications on the same computer. É uma prática recomendada usar a mesma ferramenta para editar associações que você usou para criar as associações.It is a best practice to use the same tool to edit bindings that you used to create the bindings. Por exemplo, se você criou associações TLS usando o Configuration Manager, recomendamos usar o Configuration Manager para gerenciar o ciclo de vida das associações.For example if you created TLS bindings using Configuration Manager, then it is recommended you use Configuration Manager to manage the life cycle of the bindings. Se você usar o Gerenciador do IIS para criar associações, é recomendado usar o Gerenciador do IIS para gerenciar o ciclo de vida das associações.If you use IIS manager to create bindings, then it is recommended you use IIS manager to manage the life cycle of the bindings. Se o IIS estiver instalado no computador antes da instalação do Reporting ServicesReporting Services, será uma prática recomendada revisar a configuração do TLS no IIS antes de configurar o Reporting ServicesReporting Services.If IIS is installed on the computer before Reporting ServicesReporting Services is installed, it is a good practice to review the TLS configuration in IIS before configuring Reporting ServicesReporting Services.

Se você remover as associações TLS do Reporting ServicesReporting Services usando o Gerenciador de Configurações do Servidor de Relatório, o TLS poderá deixar de funcionar nos sites em um servidor que esteja executando o IIS (Serviços de Informações da Internet) ou em outro servidor HTTP.SYS.If you remove TLS bindings for Reporting ServicesReporting Services using the Report Server Configuration Manager, TLS may no longer work for Web sites on a server that is running Internet Information Services (IIS) or on another HTTP.SYS server. Reporting ServicesReporting Services O Configuration Manager remove a seguinte chave do Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo\0.0.0.0:443 Quando essa chave do Registro é removida, o mesmo ocorre com a associação TLS para o IIS.Configuration Manager removes the following registry key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo\0.0.0.0:443 When this registry key is removed, the TLS binding for IIS is also removed. Sem essa associação, o TLS não é fornecido para o protocolo HTTPS.Without this binding, TLS is not provided for the HTTPS protocol. Para diagnosticar esse problema, use o Gerenciador do IIS ou o utilitário de linha de comando HTTPCFG.exe.To diagnose this issue, use IIS Manager or the HTTPCFG.exe command line utility. Para resolver o problema, restaure a associação TLS de seus sites usando o Gerenciador do IIS.To resolve the issue, restore the TLS binding for your web sites using IIS Manager. Para evitar esse problema no futuro, use o Gerenciador do IIS para remover as associações TLS e, em seguida, use o Gerenciador do IIS para restaurar a associação dos sites desejados.To prevent this issue in the future, use IIS Manager to remove the TLS bindings and then use IIS Manager to restore the binding for the desired Web sites. Para saber mais, veja o artigo da base de dados de conhecimento O SSL não funciona mais depois de remover uma associação SSL (https://support.microsoft.com/kb/956209/n).For more information, see the knowledge base article SSL no longer works after you remove an SSL binding (https://support.microsoft.com/kb/956209/n).

Confira tambémSee also

Autenticação com o servidor de relatório Authentication with the Report Server
Configurar e administrar um servidor de relatório (modo nativo do SSRS) Configure and Administer a Report Server (SSRS Native Mode)
Arquivo de Configuração RsReportServer.config RsReportServer.config Configuration File
Configurar URLs do servidor de relatório (Gerenciador de Configurações do Servidor de Relatório)Configure Report Server URLs (Report Server Configuration Manager)