Konfigurieren eines Berichtsservers für SSL-Verbindungen (Secure Sockets Layer)

Sie können einen Berichtsserver so konfigurieren, dass SSL-Verbindungen (Secure Sockets Layer) verwendet werden, um sicherzustellen, dass sowohl eingehende Anforderungen als auch ausgehende Antworten vor der Übertragung verschlüsselt werden. Für die SSL-Verschlüsselung und -Entschlüsselung werden Software- und Hardwarelösungen verwendet. Eine reine Softwarelösung besteht aus der Installation eines Zertifikats auf einem Front-End-Server, wobei eine Anfrage vom Front-End-Server entschlüsselt und verarbeitet wird. Eine Hardwarelösung schließt möglicherweise ein Netzwerkgerät ein, von dem die SSL-Verschlüsselung und -Entschlüsselung vor dem Weiterleiten einer unverschlüsselten Anfrage an einen Front-End-Server auf ein separates Gerät ausgelagert wird.

Beide Methoden können für einen Berichtsserver verwendet werden. Die Schritte zum Konfigurieren einer SSL-Verbindung mit einem Berichtsserver unterscheiden sich in Abhängigkeit davon, ob Sie ein SSL-Zertifikat verwenden oder die SSL-Verschlüsselung und -Entschlüsselung auf ein separates Gerät auslagern.

Weitere Informationen zu SSL finden Sie auf der Microsoft TechNet-Website unter Using SSL to Encrypt Confidential Data (in Englisch).

ms345223.note(de-de,SQL.90).gifWichtig:
Wenn Sie einen Berichtsserver für die Verwendung von SSL konfigurieren und beabsichtigen, den Berichtsserver in einer umfangreicheren SharePoint-Produkt- oder -Technologiebereitstellung auszuführen, lesen Sie unbedingt den Abschnitt SSL-Anforderungen an Berichtsserver im integrierten SharePoint-Modus in diesem Thema.

Verwenden eines SSL-Zertifikats auf dem Berichtsserver

Sie können ein SSL-Zertifikat auf dem Computer mit dem Berichtsserver installieren, um Anfragen lokal zu entschlüsseln und zu verarbeiten, und anschließend können Sie den Berichtsserver für die Verwendung des Zertifikats konfigurieren. Anweisungen zum Anfordern, Installieren und Zuweisen eines Zertifikats zu einer Website finden Sie unter Implementieren von SSL in IIS (maschinelle Übersetzung).

Wenn Sie einen Berichtsserver für die Verwendung sicherer Verbindungen konfigurieren möchten, müssen Sie folgendermaßen vorgehen:

  • Mit dem Reporting Services-Konfigurationstool können Sie das Zertifikat erkennen, eine Verbindungsebene für sichere Verbindungen festlegen und den Zertifikatnamen angeben.
  • Bearbeiten Sie die Datei RSReportServer.config, um die UrlRoot-Konfigurationseinstellung festzulegen. Die UrlRoot-Konfigurationseinstellung wird von Reporting Services verwendet, um Hyperlinks in E-Mail-Nachrichten zu erstellen, die zu Berichten auf einem Berichtsserver aufgelöst werden. Beim Bereitstellen eines Berichtsservers auf einem Computer, für den sichere Verbindungen verwendet werden, müssen Sie den UrlRoot-Wert aktualisieren, um ein HTTPS-Präfix anzugeben. Die UrlRoot-Konfigurationseinstellung muss manuell geändert werden. Die Einstellung wird nicht vom Reporting Services-Konfigurationstool aktualisiert.
So weisen Sie dem virtuellen Verzeichnis eines Berichtsservers ein Zertifikat zu
  1. Zeigen Sie im Menü Start auf Programme, Microsoft SQL Server 2005, Konfigurationstools, und klicken Sie auf Reporting Services-Konfiguration.
  2. Stellen Sie eine Verbindung mit der Berichtsserverinstanz her.
  3. Klicken Sie auf Virtuelles Verzeichnis für den Berichtsserver.
  4. Aktivieren Sie das Kontrollkästchen SSL-Verbindungen (Secure Sockets Layer) anfordern.
  5. Wählen Sie Ebene 3 aus. Mit dieser Option wird SecureConnectionLevel auf 3 festgelegt, d. h., für alle SOAP-Aufrufe für den Berichtsserver wird ein verschlüsselter Kanal verwendet.
  6. Geben Sie den Namen des Zertifikats ein. Der Zertifikatname muss dem Namen des Computers entsprechen, für den das Zertifikat ausgestellt wurde. Wenn auf den Front-End-Server über dessen Netzwerkcomputernamen zugegriffen wird, handelt es sich bei dem Zertifikatnamen um den NetBIOS-Namen des Computers. Wenn über eine Internetverbindung auf den Front-End-Server zugegriffen wird, handelt es sich bei dem Zertifikatnamen um den vollqualifizierten Domänennamen des Servers (z. B. https://www.adventure-works.com/productinfo).
  7. Klicken Sie auf Anwenden.
ms345223.note(de-de,SQL.90).gifWichtig:
Wenn Sie später entscheiden, dass Sie keine SSL-Verbindung für den Berichtsserver verwenden möchten, deaktivieren Sie das Kontrollkästchen SSL-Verbindungen (Secure Sockets Layer) anfordern, bevor Sie das Zertifikat deinstallieren. Wenn Sie das Zertifikat zuerst aufheben, können Sie das Kontrollkästchen nicht mehr deaktivieren. In diesem Fall können Sie kurzzeitig ein beliebiges Zertifikat erneut installieren, um das Kontrollkästchen zu deaktivieren. Das Zertifikat wird vom Reporting Services-Konfigurationstool erkannt, und die Option mit dem Kontrollkästchen wird auf der Seite aktiviert, sodass Sie das Kontrollkästchen deaktivieren können.

Bearbeiten von UrlRoot in der Datei RSReportServer.config

Wenn Sie die Berichtsserver-E-Mail-Übermittlungserweiterung verwenden, können Sie Abonnements erstellen, die einen Berichts-URL in der E-Mail-Nachricht einschließen. Zum Erstellen des Berichts-URLs wird vom Berichtsserver die UrlRoot-Konfigurationseinstellung in der Datei RSReportServer.config verwendet. Wenn der Bericht auf einem Berichtsserver ausgeführt wird, auf den über eine SSL-Verbindung zugegriffen wird, müssen Sie UrlRoot manuell so bearbeiten, dass das Präfix https:// verwendet wird.

Wenn Sie ein Serverzertifikat verwenden, lautet das Format des URLs folgendermaßen:

<UrlRoot>https://certificatename/reportservervirtualdirectoryname</UrlRoot>

Dabei ist certificatename der Name des Computers, für den das Zertifikat registriert ist, und reportservervirtualdirectoryname der Name des virtuellen Verzeichnisses, über das auf den Berichtsserver-Endpunkt zugegriffen wird.

Stellen Sie beim Bearbeiten der Datei RSReportServer.config sicher, das Sie dieselben Werte angeben, die Sie im Reporting Services-Konfigurationstool eingegeben haben. Wenn Sie beispielsweise für den Zertifikatnamen https://www.adventure-works.com/productinfo und für das virtuelle Verzeichnis des Berichtsservers reportserver angegeben haben, muss der Wert für UrlRoot dem Wert https://www.adventure-works.com/productinfo/reportserver entsprechen.

Verwenden einer SSL-Auslagerung

Wenn Sie eine SSL-Auslagerung verwenden, unterscheiden sich die Prozeduren zum Aktivieren der SSL-Verbindungen auf dem Berichtsserver geringfügig. In diesem Fall müssen Sie SecureConnectionLevel auf 0 festlegen. Dies ist der Standardwert. Wenn Sie SQL Server 2005 und das Reporting Services-Konfigurationstool verwenden, können Sie den Wert auf 0 festlegen, indem Sie das Kontrollkästchen SSL-Verbindungen (Secure Sockets Layer) anfordern auf der Seite Virtuelles Verzeichnis für den Berichtsserver nicht aktivieren. Andernfalls müssen Sie die Datei RSReportServer.config bearbeiten, um den Wert zu ändern.

Wenn Sie SQL Server 2000 Reporting Services mit Service Pack 2 (SP2) verwenden, konfigurieren Sie das SSL-Auslagerungsgerät, um FRONT-END-HTTPS:ON der Kopfzeile für die HTTP-Anforderung hinzuzufügen, bevor Sie sie an den Berichtsserver senden. Als Reaktion auf diese Kopfzeile der Anforderung werden vom Berichtsserver eingebettete URLs mit dem Präfix HTTPS generiert. Anweisungen zum Konfigurieren der SSL-Auslagerung für SQL Server 2000 Reporting Services sind in diesem Thema enthalten.

So konfigurieren Sie SQL Server 2005 Reporting Services für die SSL-Auslagerung
  1. Konfigurieren Sie das Gerät so, dass HTTPS-Anforderungen in HTTP-Anforderungen und HTTP-Antworten in HTTPS-Antworten übersetzt werden.
  2. Konfigurieren Sie den Berichtsserver mithilfe der UrlRoot-Eigenschaft in der Datei RSReportServer.config so, dass SSL in Links verwendet wird. Wenn Sie Berichtsserver-E-Mail-Abonnements verwenden, kann der Berichtsserver einen Berichts-URL in der E-Mail-Nachricht einschließen. Bei dem URL handelt es sich um den vollqualifizierten Berichtsserver-URL, der mithilfe der UrlRoot-Einstellung in der Datei RSReportServer.config erstellt wird. Stellen Sie sicher, dass Sie das Präfix https:// verwenden, wenn die Berichtsanforderung direkt an den Berichtsserver gesendet und das SSL-Auslagerungsgerät für die URL-Übersetzung umgangen wird.
  3. Wenn Sie die Konfigurationseinstellungen in der Vergangenheit geändert haben, überprüfen Sie, ob SecureConnectionLevel in der Datei RSReportServer.config auf 0 festgelegt ist.
So konfigurieren Sie SQL Server 2000 Reporting Services SP2 für die SSL-Auslagerung
  1. Konfigurieren Sie das Gerät so, dass die HOST-Anforderungskopfzeile beibehalten wird.
  2. Konfigurieren Sie das Gerät so, dass der Anforderungskopfzeile FRONT-END-HTTPS:ON hinzugefügt wird.
  3. Konfigurieren Sie das Gerät so, dass HTTPS-Anforderungen in HTTP-Anforderungen und HTTP-Antworten in HTTPS-Antworten übersetzt werden.
  4. Konfigurieren Sie den Berichts-Manager so, dass die ReportServerVirtualDirectory-Eigenschaft in der Datei RSWebApplication.config verwendet wird. Weitere Informationen finden Sie unter Konfigurieren von virtuellen Verzeichnissen für den Berichtsserver.
  5. Konfigurieren Sie den Berichtsserver mithilfe der UrlRoot-Eigenschaft in der Datei RSReportServer.config so, dass SSL in Links verwendet wird. Einzelheiten hierzu finden Sie im Abschnitt "Bearbeiten von UrlRoot in der Datei RSReportServer.config" in diesem Thema.
  6. Konfigurieren Sie den Berichtsserver so, dass lokale SSL-Zertifikate nicht erkannt werden, indem Sie SecureConnectionLevel in der Datei RSReportServer.config auf 0 festlegen.

SSL-Anforderungen an Berichtsserver im integrierten SharePoint-Modus

Wenn Sie einen für SSL aktivierten Berichtsserver im integrierten SharePoint-Modus ausführen möchten, müssen Sie die SharePoint-Webanwendung ebenfalls für die Verwendung von SSL konfigurieren.

SSL muss für die SharePoint-Webanwendung erforderlich sein, da alle Berichtsserveranforderungen, die von den Anwendungsseiten einer SharePoint-Website stammen, über einen Reporting Services-URL-Proxy-Endpunkt an einen Berichtsserver gesendet werden, der innerhalb der SharePoint-Webanwendung ausgeführt wird. Zwar wird der Proxy-Endpunkt innerhalb der SharePoint-Webanwendung ausgeführt, doch werden die Verschlüsselungsanforderungen vom Berichtsserver abgerufen. Für den Endpunkt muss SSL verwendet werden, wenn der zugehörige Berichtsserver SSL erfordert. Durch Konfiguration der SharePoint-Webanwendung für SSL aktivieren Sie auch den Endpunkt für SSL.

ms345223.note(de-de,SQL.90).gifHinweis:
Die SSL-Anforderungen für eine SharePoint-Webanwendung werden von Reporting Services nur dann erzwungen, wenn der Berichtsserver für die Ausführung im integrierten SharePoint-Modus konfiguriert ist und für den Berichtsserver SSL verwendet wird. Wenn Sie einen Berichtsserver im systemeigenen Modus und die Webparts der Version 2.0 mit einer SharePoint-Webanwendung verwenden oder wenn Sie den integrierten SharePoint-Modus konfigurieren, aber SSL für den Berichtserver nicht verwendet wird, muss SSL nicht für die SharePoint-Webanwendung aktiviert sein.

Konfigurieren Sie die Server für SSL-Verbindungen mithilfe der folgenden Anweisungen:

  1. Installieren und konfigurieren Sie Zertifikate auf beiden Servern. Weitere Informationen finden Sie unter Implementieren von SSL in IIS (maschinelle Übersetzung).
  2. Weisen Sie mit IIS-Manager Ports zu, und aktivieren Sie das Kontrollkästchen Sicheren Kanal voraussetzen (SSL) für die Websites für den Zugriff auf die SharePoint-Webanwendung und den Berichtsserver. Wenn der Standardport 443 von einer anderen Webanwendung auf demselben Server verwendet wird, müssen Sie eine eindeutige Portnummer zuweisen.
  3. Bei der Konfiguration der Berichtsserverintegration in der Zentraladministration geben Sie den URL des Berichtsservers in folgendem Format an: https://<SSLZertifikatname>:<SSLPort>/reportserver. Weitere Informationen finden Sie unter Vorgehensweise: Konfigurieren des Berichtsserver-Integrationsfeatures in der SharePoint-Zentraladministration.

Behandlung von Problemen bei SSL-Verbindungen

Die folgenden Tipps können beim Beheben von SSL-Verbindungsfehlern hilfreich sein.

Stellen Sie bei Intranetverbindungen sicher, dass der Zertifikatname und UrlRoot mit dem NetBIOS-Namen des Computers übereinstimmen.

Überprüfen Sie, ob das Problem durch zwischengespeicherte Kopfzeilen verursacht wird, wenn beim Exportieren eines Berichts ein Downloadfehler angezeigt wird. Weitere Informationen finden Sie unter Internet Explorer-Dateidownloads über SSL mit Cache Control-Kopfzeilen nicht möglich.

Siehe auch

Aufgaben

Vorgehensweise: Starten der Reporting Services-Konfiguration

Konzepte

Bereitstellungsmodi für Reporting Services
Konfigurieren der Authentifizierung für Reporting Services
Konfigurieren der Reporting Services-Komponenten
RSReportServer-Konfigurationsdatei
Konfigurieren von virtuellen Verzeichnissen für den Berichtsserver

Hilfe und Informationen

Informationsquellen für SQL Server 2005