Secure Socket Layer (SSL) 接続用レポート サーバーの構成
Reporting Services では、HTTP SSL (Secure Sockets Layer) サービスを使用してレポート サーバーへの暗号化接続を確立します。レポート サーバー コンピュータ上のローカルの証明書ストアに証明書 (.cer) ファイルがインストールされている場合、その証明書を Reporting Services の URL 予約にバインドして、暗号化チャネルでのレポート サーバー接続をサポートできます。
インターネット インフォメーション サービス (IIS) でも HTTP SSL が使用されるため、IIS と Reporting Services を同じコンピュータ上で実行する場合は、相互運用性に関する重要な問題について考慮する必要があります。これらの問題の対処方法については、「IIS との相互運用性の問題」を確認してください。
サーバー証明書の要件
コンピュータ上にサーバー証明書がインストールされている必要があります (クライアント証明書はサポートされていません)。Reporting Services には、証明書を要求、生成、ダウンロード、またはインストールするための機能は用意されていません。Windows Server 2003 の証明書スナップインを使用して、信頼されている証明機関から発行された証明書を要求することができます。
テスト目的の場合は、ローカルで証明書を生成できます。手順については、「SSL に使用する証明書の構成」の「証明書の取得」を参照してください。MakeCert ユーティリティとサンプル コマンドをテンプレートとして使用する場合は、サーバー名をホストとして指定し、コマンドの実行前にすべての改行を削除してください。コマンドを DOS ウィンドウで実行する場合、コマンド全体を含めるためにウィンドウのバッファ サイズを増やす必要があることがあります。
IIS と Reporting Services を同じコンピュータ上で実行している場合は、IIS マネージャー コンソール アプリケーションを使用して、証明書をコンピュータ上にインストールできます。IIS マネージャー には、信頼されている証明機関が行う後続の処理のために、証明書要求 (.crt) ファイルを作成およびパッケージ化するオプションが用意されています。利用している証明機関によって、証明書 (.cer) ファイルが生成されて送り返されます。IIS 管理コンソールを使用して、その証明書ファイルをローカル ストアにインストールできます。詳細については、Technet の「SSL を使用して資格情報データを暗号化する」を参照してください。
IIS との相互運用性の問題
Reporting Services と同じコンピュータに IIS が存在する場合、レポート サーバーへの SSL 接続に大きく影響します。
IIS がインストールされている場合、必ず World Wide Web サービス (W3SVC) が実行されている必要があります。HTTP SSL サービスは、IIS が実行中であることを検出すると、IIS に対する依存関係を作成します。つまり、IIS と Reporting Services が同じコンピュータ上にインストールされている場合にレポート サーバー URL を SSL 接続用に構成する際は、必ず World Wide Web サービス (W3SVC) が実行されている必要があります。
IIS をアンインストールすると、SSL がバインドされたレポート サーバー URL に対するサービスが一時的に中断されることがあります。そのため、IIS をアンインストールした後はコンピュータを再起動することを強くお勧めします。
コンピュータの再起動は、すべての SSL セッションをキャッシュから消去するために必要です。一部のオペレーティング システムでは、SSL セッションが最大 10 時間キャッシュされ、HTTP.SYS で URL 予約から SSL バインドが削除された後も https:// URL が引き続き機能する原因になります。コンピュータを再起動すると、チャネルを使用するすべての開いている接続が閉じます。
Reporting Services の URL 予約への SSL のバインド
次の手順には、証明書の要求、生成、ダウンロード、またはインストールの手順は含まれません。証明書がインストールされ、使用できるようになっている必要があります。指定する証明書のプロパティ、証明書を取得する証明機関、および証明書の要求とインストールに使用するツールやユーティリティは、任意に決めることができます。
証明書は Reporting Services 構成ツールを使用してバインドできます。証明書がローカル コンピュータのストアに正しくインストールされていれば、Reporting Services 構成ツールによって検出され、[Web サービス URL] ページと [レポート マネージャ URL] ページの [SSL 証明書] の一覧に表示されます。
レポート サーバー URL を SSL 用に構成するには
Reporting Services 構成ツールを起動して、レポート サーバーに接続します。
[Web サービス URL] をクリックします。
SSL 証明書の一覧を展開します。Reporting Services によって、ローカル ストアにあるサーバー認証証明書が検出されます。インストールした証明書が一覧に表示されない場合は、サービスの再起動が必要になることがあります。Reporting Services 構成ツールの [レポート サーバーの状態] ページにある [停止] ボタンと [開始] ボタンを使用して、サービスを再起動できます。
証明書を選択します。
[適用] をクリックします。
URL をクリックして機能するかどうかを検証します。
URL をテストするには、レポート サーバー データベースが構成されている必要があります。レポート サーバー データベースをまだ作成していない場合は、URL のテスト前に作成してください。
URL 予約は、レポート マネージャとレポート サーバー Web サービスで別々に構成されます。レポート マネージャへのアクセスを SSL で暗号化されたチャネルで構成する場合も、引き続き次の手順を実行します。
[レポート マネージャ URL] をクリックします。
[詳細設定] をクリックします。
[レポート マネージャで複数の SSL ID を使用] で、[追加] をクリックします。
証明書を選択して [OK] をクリックし、[適用] をクリックします。
URL をクリックして機能するかどうかを検証します。
証明書のバインドの格納方法
証明書のバインドは HTTP.SYS に格納されます。また、定義したバインドの記述は、RSReportServer.config ファイルの URLReservations セクションに格納されます。構成ファイル内の設定は、他の場所で指定された実際の値を記述しただけのものです。値を構成ファイル内で直接変更することは避けてください。構成設定は、Reporting Services 構成ツール、またはレポート サーバーの Windows Management Instrumentation (WMI) プロバイダを使用して証明書をバインドするまで、ファイルには表示されません。
.gif "注意") 注意 |
|---|
Reporting Services で SSL 証明書とのバインドを構成し、後でコンピュータから証明書を削除する場合は、コンピュータから証明書を削除する前に、Reporting Services からバインドを削除してください。このようにしないと、Reporting Services 構成ツールまたは WMI を使用してバインドを削除できなくなり、"無効なパラメータ" エラーが発生します。コンピュータから証明書を既に削除している場合は、Httpcfg.exe ツールを使用して HTTP.SYS からバインドを削除できます。Httpcfg.exe の詳細については、Windows の製品マニュアルを参照してください。 |