Eliminazione e ricreazione di chiavi di crittografia

Le attività di eliminazione e ricreazione di chiavi di crittografia non rientrano nella manutenzione di routine delle chiavi di crittografia. Tali attività vengono eseguite in risposta a una specifica minaccia al server di report oppure come ultima risorsa quando non è più possibile accedere a un database del server di report.

  • Ricreare la chiave simmetrica quando si ritiene che quella esistente sia compromessa. È inoltre possibile ricreare la chiave regolarmente come procedura consigliata per la protezione.

  • Eliminare le chiavi di crittografia esistenti e il contenuto crittografato inutilizzabile quando non è possibile ripristinare la chiave simmetrica.

Ricreazione di chiavi di crittografia

Se si ha la prova che la chiave simmetrica sia conosciuta da utenti non autorizzati oppure se il server di report è stato attaccato, come misura di sicurezza è possibile ricreare la chiave simmetrica in modo da reimpostarla. Se si ricrea la chiave simmetrica, tutti i valori crittografati verranno crittografati nuovamente utilizzando il nuovo valore. Se si eseguono più server in una distribuzione con scalabilità orizzontale, tutte le copie della chiave simmetrica verranno aggiornate in base al nuovo valore. Il server di report utilizza le chiavi pubbliche disponibili per aggiornare la chiave simmetrica per ogni server presente nella distribuzione.

La chiave simmetrica può essere ricreata solo quando il server di report è in uno stato attivo. La ricreazione delle chiavi di crittografia e la riesecuzione della crittografia del contenuto interferisce con le operazioni del server. Durante l'operazione di riesecuzione della crittografia il server non deve essere in linea e il server di report non deve ricevere richieste.

Per reimpostare la chiave simmetrica e i dati crittografati è possibile utilizzare lo strumento di configurazione di Reporting Services o l'utilità rskeymgmt. Per ulteriori informazioni sulla creazione della chiave simmetrica, vedere Inizializzazione di un server di report.

Come ricreare chiavi di crittografia (strumento di configurazione di Reporting Services)

  1. Disabilitare il servizio Web ReportServer e l'accesso HTTP modificando la proprietà IsWebServiceEnabled nel file rsreportserver.config. Questo passaggio interrompe temporaneamente l'invio delle richieste di autenticazione al server di report senza arrestare completamente il server. È necessario disporre di un servizio minimo per poter ricreare le chiavi.

    Se vengono ricreate chiavi di crittografia per una distribuzione con scalabilità orizzontale del server di report, disabilitare questa proprietà in tutte le istanze presenti nella distribuzione.

    1. Aprire Esplora risorse e passare a unità:\Programmi\Microsoft SQL Server\istanza_server_report\Reporting Services. Sostituire unità con la lettera dell'unità e istanza_server_report con il nome della cartella che corrisponde all'istanza del server di report per cui si desidera disabilitare il servizio Web e l'accesso HTTP. Ad esempio, C:\Programmi\Microsoft SQL Server\MSRS10.MSSQLSERVER\Reporting Services.

    2. Aprire il file rsreportserver.config.

    3. Per la proprietà IsWebServiceEnabled, specificare False, quindi salvare le modifiche.

  2. Avviare lo strumento di configurazione di Reporting Services e quindi connettersi all'istanza del server di report che si desidera configurare.

  3. Nella pagina Chiave di crittografia fare clic su Cambia. Fare clic su OK.

  4. Riavviare il servizio Windows ReportServer. Se si ricreano chiavi di crittografia per una distribuzione con scalabilità orizzontale, riavviare il servizio su tutte le istanze.

  5. Riabilitare il servizio Web ReportServer e l'accesso HTTP modificando la proprietà IsWebServiceEnabled nel file rsreportserver.config. Se si utilizza una distribuzione con scalabilità orizzontale, eseguire questa procedura per tutte le istanze.

Come ricreare chiavi di crittografia (rskeymgmt)

  1. Disabilitare il servizio Web ReportServer e l'accesso HTTP. Per interrompere le operazioni del servizio Web, seguire le istruzioni riportate nella procedura precedente.

  2. Eseguire l'utilità rskeymgmt.exe in locale nel computer che ospita il server di report. Per reimpostare la chiave simmetrica, utilizzare l'argomento -s. Non sono necessari altri argomenti:

    rskeymgmt -s
    
  3. Riavviare il servizio Windows e attivare le operazioni del servizio Web.

Eliminazione di contenuto crittografato non utilizzabile

Se per qualsiasi motivo non è possibile ripristinare la chiave di crittografia, il server di report non è in grado di decrittografare e utilizzare dati crittografati con quella chiave. Per ripristinare lo stato attivo del server di report, è necessario eliminare i valori crittografati attualmente archiviati nel database del server di report e quindi specificare di nuovo manualmente i valori necessari.

Se si eliminano le chiavi di crittografia, verranno rimosse tutte le informazioni relative alla chiave simmetrica dal database del server di report e verrà eliminato tutto il contenuto crittografato. Tutti i dati non crittografati rimarranno invariati. Verrà eliminato solo il contenuto crittografato. Quando si eliminano le chiavi di crittografia, il server di report viene reinizializzato automaticamente mediante l'aggiunta di una nuova chiave simmetrica. Quando viene eliminato contenuto crittografato, si verifica quanto riportato di seguito:

  • Vengono eliminate le stringhe di connessione nelle origini dei dati condivise. Per gli utenti che eseguono report viene visualizzato l'errore "La proprietà ConnectionString non è stata inizializzata".

  • Le credenziali archiviate vengono eliminate. I report e le origini dei dati condivise vengono riconfigurati in modo da utilizzare le credenziali richieste.

  • I report basati su modelli, e che richiedono origini dei dati condivise configurate con credenziali archiviate o prive di credenziali, non vengono eseguiti.

  • Le sottoscrizioni vengono disattivate.

Il contenuto crittografato eliminato non potrà essere recuperato. Oltre a specificare di nuovo le stringhe di connessione e le credenziali archiviate, è necessario attivare le sottoscrizioni.

Per rimuovere i valori è possibile utilizzare lo strumento di configurazione di Reporting Services o l'utilità rskeymgmt.

Come eliminare chiavi di crittografia (strumento di configurazione di Reporting Services)

  1. Avviare lo strumento di configurazione di Reporting Services e quindi connettersi all'istanza del server di report che si desidera configurare.

  2. Fare clic su Chiave di crittografia e quindi su Elimina. Fare clic su OK.

  3. Riavviare il servizio Windows ReportServer. Per una distribuzione con scalabilità orizzontale, eseguire questa procedura su tutte le istanze del server di report.

Come eliminare chiavi di crittografia (rskeymgmt)

  1. Eseguire l'utilità rskeymgmt.exe in locale nel computer che ospita il server di report. È necessario utilizzare l'argomento -d. Nell'esempio seguente viene illustrato l'argomento che è necessario specificare:

    rskeymgmt -d
    
  2. Riavviare il servizio Windows ReportServer. Per una distribuzione con scalabilità orizzontale, eseguire questa procedura per tutte le istanze del server di report.

Come specificare di nuovo i valori crittografati

  1. Digitare di nuovo la stringa di connessione per ogni origine dei dati condivisa.

  2. Digitare di nuovo il nome utente e la password per ogni report e origine dei dati condivisa che utilizza credenziali archiviate. Per ulteriori informazioni, vedere Specifica di credenziale e informazioni sulla connessione per le origini dati del report.

  3. Aprire ogni sottoscrizione guidata dai dati e digitare di nuovo le credenziali per l'accesso al database di sottoscrizione.

  4. Aprire ogni sottoscrizione che utilizza dati crittografati, incluse l'estensione per il recapito tramite condivisione file ed eventuali estensioni per il recapito di terze parti che utilizzano la crittografia, e quindi digitare di nuovo le credenziali. Le sottoscrizioni che utilizzano il recapito tramite posta elettronica di Report Server non utilizzano dati crittografati e quindi non sono interessate dalla modifica delle chiavi.