Configurer des connexions SSL sur un serveur de rapports en mode natif

  • Article

Le mode natif de Reporting Services utilise le service HTTP SSL pour établir des connexions chiffrées avec un serveur de rapports. Si le fichier de certificat (.cer) est installé dans un magasin de certificats local sur le serveur de rapports, vous pouvez lier le certificat à une réservation d’URL Reporting Services de manière à prendre en charge les connexions de serveur de rapports via un canal chiffré.

Conseil

Pour plus d’informations, consultez la documentation SharePoint si vous utilisez le mode Reporting Services de SharePoint. Par exemple, How to enable SSL on a SharePoint 2010 web application (Procédure pour activer SSL sur une application Web SharePoint 2010) (https://docs.microsoft.com/archive/blogs/sowmyancs/how-to-enable-ssl-on-a-sharepoint-2010-web-application).

Comme IIS (Internet Information Services) utilise aussi HTTP SSL, il existe des problèmes d’interopérabilité significatifs que vous devez connaître si vous exécutez IIS et Reporting Services sur le même ordinateur. Veillez à consulter la section Problèmes d'interopérabilité avec IIS pour des informations sur la manière de traiter ces problèmes.

Conditions requises des certificats de serveur

Vous devez installer un certificat de serveur sur l'ordinateur (les certificats clients ne sont pas pris en charge). Les services de rapports n'offrent pas de fonctionnalité pour demander, générer, télécharger ou installer un certificat. Windows Server 2003 fournit un composant logiciel enfichable Certificats que vous pouvez utiliser pour demander un certificat à une autorité de certification approuvée.

Vous pouvez créer un certificat localement à des fins de tests. Si vous employez l’utilitaire MakeCert et l’exemple de commande comme modèle, veillez à spécifier le nom de votre serveur comme hôte et à supprimer tous les sauts de ligne avant d’exécuter la commande. Si vous exécutez la commande dans une fenêtre DOS, vous devrez peut-être augmenter la taille de la mémoire tampon de la fenêtre pour prendre en compte toute la commande.

Si vous exécutez IIS et Reporting Services ensemble sur le même ordinateur, utilisez l’application de la console du Gestionnaire IIS pour obtenir le certificat installé sur votre ordinateur. Le Gestionnaire IIS comprend des options pour la création et l'empaquetage d'un fichier de demande de certificat (.crt) pour les traitements suivants par une autorité de certification approuvée. L'autorité de certification que vous utilisez génère un fichier de certificat (.cer) et vous le renvoie. Vous pouvez utiliser la console de gestion IIS pour installer le fichier de certificat dans le magasin local. Pour plus d’informations, consultez Using SSL to Encrypt Confidential Data (Utilisation de SSL pour chiffrer des données confidentielles) sur le site TechNet.

Problèmes d'interopérabilité avec IIS

La présence d’IIS sur le même ordinateur que Reporting Services affectera considérablement les connexions SSL à un serveur de rapports :

  • Si IIS est installé, le service World Wide Web (W3SVC) doit toujours être en cours d'exécution. Le service HTTP SSL établit une dépendance sur IIS s'il détecte que le service est en cours d'exécution. Cela signifie que le service World Wide Web (W3SVC) doit être en cours d’exécution chaque fois qu’IIS et Reporting Services sont installés sur le même ordinateur et que vous configurez des URL de serveur de rapports pour les connexions SSL.

  • La désinstallation d'IIS peut interrompre temporairement le service à une URL du serveur de rapports liée à SSL. C'est pourquoi il est fortement recommandé de redémarrer l'ordinateur après avoir désinstallé IIS.

    Il est nécessaire de redémarrer l'ordinateur pour effacer toutes les sessions SSL du cache. Certains systèmes d'exploitation mettent en cache des sessions SSL pendant 10 heures, ce qui prolonge le fonctionnement d'une URL https:// même après la suppression de la liaison SSL de la réservation d'URL dans HTTP.SYS. Le redémarrage de l'ordinateur ferme toutes les connexions ouvertes qui utilisent le canal.

Lier SSL à une réservation d'URL Reporting Services

Les étapes suivantes n'incluent pas d'instructions pour demander, générer, télécharger, ou installer un certificat. Un certificat doit être installé et disponible. Les propriétés de certificat que vous spécifiez, l'autorité de certification émettrice, et les outils et utilitaires que vous utilisez pour demander et installer le certificat relèvent entièrement de votre choix.

Vous pouvez utiliser l’outil de configuration de Reporting Services pour lier le certificat. Si le certificat est installé correctement dans le magasin de l’ordinateur local, l’outil de configuration Reporting Services le détecte et l’affiche dans la liste Certificats SSL dans les pages URL du service web et URL du Gestionnaire de rapports.

Pour configurer une URL de serveur de rapports pour SSL

  1. Démarrez l'outil de configuration de Reporting Services, puis connectez-vous au serveur de rapports.

  2. Cliquez sur URL du service Web.

  3. Développez la liste des certificats SSL. Reporting Services détecte les certificats d’authentification de serveur dans le magasin local. Si vous avez installé un certificat et qu'il ne figure pas dans la liste, vous devrez peut-être redémarrer le service. Vous pouvez utiliser les boutons Arrêter et Démarrer dans la page État de Report Server dans l’outil de configuration de Reporting Services pour redémarrer le service.

  4. Sélectionnez le certificat.

  5. Cliquez sur Appliquer.

  6. Cliquez sur l'URL pour vérifier qu'elle fonctionne.

Il est nécessaire de configurer la base de données du serveur de rapports pour tester l'URL. Si vous n'avez pas encore créé la base de données du serveur de rapports, faites le avant de tester l'URL.

Les réservations d'URL pour le service Web Report Server et le Gestionnaire de rapports sont configurées indépendamment. Si vous souhaitez configurer également l'accès au Gestionnaire de rapports à l'aide d'un canal chiffré par SSL, continuez les étapes suivantes :

  1. Cliquez sur URL du Gestionnaire de rapports.

  2. Cliquez sur Avancé.

  3. Dans Plusieurs identités SSL pour le Gestionnaire de rapports, cliquez Ajouter.

  4. Sélectionnez le certificat, cliquez sur OK, puis sur Appliquer.

  5. Cliquez sur l'URL pour vérifier qu'elle fonctionne.

Comment les liaisons de certificat sont stockées

Les liaisons de certificat sont stockées dans HTTP.SYS. Une représentation des liaisons que vous avez définies est également stockée dans la section URLReservations du fichier RSReportServer.config. Les paramètres dans le fichier de configuration sont uniquement une représentation des valeurs réelles spécifiées ailleurs. Ne modifiez pas les valeurs directement dans le fichier de configuration. Les paramètres de configuration apparaissent dans le fichier seulement si vous avez utilisé l’outil de configuration de Reporting Services ou le fournisseur WMI (Windows Management Instrumentation) de Report Server pour lier un certificat.

Notes

Si vous configurez une liaison avec un certificat SSL dans Reporting Services et que vous souhaitez par la suite supprimer le certificat de l’ordinateur, veillez à supprimer la liaison de Reporting Services avant de supprimer le certificat de l’ordinateur. Sinon, vous ne pourrez pas supprimer la liaison en utilisant l’outil de configuration de Reporting Services ou WMI, et vous recevrez l’erreur « Paramètre non valide ». Si vous avez déjà supprimé le certificat de l'ordinateur, vous pouvez utiliser l'outil Httpcfg.exe pour supprimer la liaison de HTTP.SYS. Pour plus d'informations sur Httpcfg.exe, consultez la documentation produit de Windows.

Les liaisons SSL sont une ressource partagée dans Microsoft Windows. Les modifications apportées par le Gestionnaire de configuration de Reporting Services ou d’autres outils, comme le Gestionnaire des services IIS, peuvent impacter d’autres applications sur le même ordinateur. Il est recommandé d'utiliser le même outil pour modifier les liaisons que celui utilisé pour les créer. Par exemple, si vous avez créé des liaisons SSL à l'aide du Gestionnaire de configuration, il est recommandé d'utiliser cet outil pour gérer le cycle de vie des liaisons. Si vous utilisez le Gestionnaire des services IIS pour créer des liaisons, il est recommandé d'utiliser cet outil pour gérer le cycle de vie des liaisons. Si IIS est installé sur l’ordinateur avant l’installation de Reporting Services, il est recommandé de passer en revue la configuration SSL dans IIS avant de configurer Reporting Services.

Si vous supprimez les liaisons SSL pour Reporting Services à l’aide de l’Reporting Services Configuration Manager, ssl peut ne plus fonctionner pour les sites Web sur un serveur qui exécute Internet Information Services (IIS) ou sur un autre serveur HTTP.SYS. Reporting Services Configuration Manager supprime la clé de Registre suivante. Lorsque cette clé de Registre est supprimée, la liaison SSL pour IIS l'est également. Sans cette liaison, SSL n'est pas fourni pour le protocole HTTPS. Pour diagnostiquer ce problème, utilisez le Gestionnaire des services IIS ou l'utilitaire en ligne de commande HTTPCFG.exe. Pour résoudre le problème, restaurez la liaison SSL pour vos sites Web en utilisant le Gestionnaire des services IIS. Pour éviter ce problème dans le futur, utilisez le Gestionnaire des services IIS pour restaurer la liaison pour les sites Web souhaités. Pour plus d’informations, consultez l’article de la Base de connaissances SSL ne fonctionne plus après la suppression d’une liaison SSL (https://support.microsoft.com/kb/956209/n).

Voir aussi

Authentification avec le serveur de rapports
Configurer et administrer un serveur de rapports (SSRS en mode natif)
Fichier de configuration RSReportServer
Gestionnaire de configuration de Reporting Services (del)
Configurer les URL du serveur de rapports (SSRS Configuration Manager)