Nivelando o PerformancePoint nos sites habilitados para HTTPS

Artigo original publicado na quarta-feira, 20 de junho de 2012

Este blog está desatualizado a muito tempo e isto é algo que o suporte encontrou dos clientes há algum tempo.  Se você tentou configurar os serviços do PerformancePoint para funcionar em um site habilitado para HTTPS, você provavelmente obterá várias mensagens de erro ao tentar criar uma conexão da fonte de dados para uma lista do SharePoint ou uma fonte de dados dos Serviços do Excel.

A seguir estão algumas das mensagens de erro que você poderá obter. Uma é específica para o PerformancePoint e a outra é relacionada ao SharePoint Foundation.

Mensagem de erro do painel do PerformancePoint:
“Os Serviços do PerformancePoint não podem se conectar à fonte de dados especificada. Verifique se o usuário atual ou a Conta de Serviço Autônoma possui permissões de leitura para a fonte de dados, dependendo da sua configuração de segurança. Também verifique se todas as informações de conexão necessárias são fornecidas e estão corretas”.

Mensagens de erro ULS:

“SharePoint Foundation | Topologia | 8311 | Crítico | A operação falhou porque o seguinte certificado possui erros de validação:<<caminho do certificado & impressão digital do certificado>>\n\nErros:\n\n A raiz da cadeia de certificados não é uma autoridade raiz confiável..”

“Serviço do PerformancePoint | Serviços do PerformancePoint | ef8z | Crítico | Os serviços do PerformancePoint não podem ser conectados à fonte de dados especificada. Verifique se o usuário atual ou a Conta de Serviço Autônoma possui permissões de leitura para a fonte de dados, dependendo da sua configuração de segurança. Além disso, verifique se todas as informações de conexão necessárias são fornecidas e estão corretas.  System.Net.WebException: A conexão subjacente foi fechada: Não pode estabelecer uma relação de confiança para o SSL/TLS seguro…”

A mensagem que mais aparece é a mensagem de erro do SharePoint Foundation, pois indica que o problema real é um problema relacionado ao certificado.  As mensagens do PerformancePoint podem ser um pouco incorretas pois pode levar você para um caminho de resolução de problemas relacionados à autenticação/autorização.  Embora isso seja realmente o problema, há várias maneiras que você pode verificar para garantir que a Conta de Serviço Autônomo ou a própria Conta de Serviço possua as permissões adequadas.  Dito isto, se este é um problema de certificado, sempre procure pelas mensagens ULS críticas do SharePoint Foundation, que é uma sentença de morte para problemas de certificados do PerformancePoint. Se você encontrou estas mensagens, tente o seguinte. Vários seguintes tiveram sucesso com a solução a seguir.

Solução
Hipótese: Isto assume que os certificados já foram adquiridos e que os vínculos foram configurados no IIS para os sites do SharePoint com os quais você está trabalhando. Se isto for configurado com êxito, você poderá navegar seus sites https sem receber qualquer erro de certificado. (Aqui está uma publicação que oferece uma visão geral decente de todo o processo, assim como os links autoritativos para a documentação relacionada.)

Etapa 1: Extrair certificados para o servidor do SharePoint
Cada certificado no caminho de certificados (Raiz, Intermediário e folha) precisarão ser instalados nas Autoridades de Certificação Raiz Confiável do computador local.  Para poder realizar isso, você precisará extrair cada certificado no caminho de certificados do certificado “agrupado”.

  1. Navegar para o front-end da Web ou servidor de aplicativos.
  2. Abra o Internet Explorer e navegue para o site que você usará (https://site).
  3. Exiba o Certificado associado com o site procurando no relatório de segurança da URL.
    1. Selecione o ícone de cadeado à direita da URL 
    2. Selecione Exibir certificados.
  4. Selecione a guia Caminho do certificado.

  1. Selecione o nó raiz no seu caminho de certificado e selecione “Exibir certificado”.

  1. Na Janela de certificados aberta, selecione a guia Detalhes
  2. Selecione o botão “Copiar para arquivo…”
  3. O Assistente Exportar Certificados abrirá.
  4. Escolha o formato de certificado padrão “DER codificado binário X.509 (.CER)” e selecione Avançar.

  1. Especifique um local onde você pode salvar o arquivo e atribua o nome do arquivo “RootCertificate”  (selecione Avançar).
    1. Especifique um local ao clicar no botão Procurar.
    2. Escolha Área de trabalho.
    3. Especifique um nome (por exemplo, “Raiz”).

  1. Selecione Finalizar.
  2. Repetir as etapas 4 a 10 para cada certificado no seu Caminho de Certificados.

Etapa 2: Adicione cada certificado para a Autoridade de Certificação de Raiz Confiável do computador local
Cada certificado exportado precisa ser importado para a Autoridade de Certificação de Raiz Confiável do computador local em cada servidor no farm.

  1. Em cada servidor no seu farm, certifique-se de que os certificados exportados são adicionados para o computador local, Autoridades de Certificação de Raiz Confiável (é mais fácil apenas copiar os certificados para cada servidor no farm quando você tiver exportado os certificados no seu primeiro servidor).
  2. Inicie o Gerenciador de certificado local.

a. Iniciar | Executar | MMC

b. Selecione o Menu Arquivos | Adicionar/remover snap-in

c. Na janela Adicionar ou remover snap-ins, selecione Certificados e clique no botão Adicionar.

d. Na janela Certificados snap-in, selecione Conta do computador | Avançar.

e. Escolha Computador local | Finalizar.

f. Volte para a janela Adicionar ou remover snap-ins e selecione OK.g. Expanda o nó Certificados (Computador local) na janela Console.

g. Expanda o nó Certificados (Computador Local) na janela Console.

 
h. Clique com o botão direito em Autoridades de Certificação de Raiz Confiável | Todas as tarefas | Importar.

i. Navegue para o Certificado raiz exportado anteriormente e selecione Avançar.
j. Escolha os Padrões do resto e selecione Finalizar.  Você deve receber uma mensagem indicando que a importação teve êxito.

Repita as etapas h – i para cada certificado no caminho de Certificação

Etapa 3: Cada certificado precisa ser adicionado à Confiança Gerenciada do SharePoint

  1. Quando o certificado é instalado localmente, é necessário que o Certificado seja adicionado à confiança gerenciada do SharePoint.  Isto precisará ser realizado apenas em um dos seus servidores, pois a confiança é reconhecida em todo o farm.  Adicione cada certificado à Confiança Gerenciada do SharePoint.

a. Abra a Administração Central do SharePoint e navegue para  Segurança | Confiança Gerenciada.
 

b. Na faixa de opções Relações de Confiança, selecione Novo e a janela "Estabelecer relação de confiança" abrirá.
c. Para as configurações gerais, especifique um nome (isto é, RootCA, IntermediateLevel1 IntermediateLevel2).
d. Para o Certificado raiz da relação de confiança, selecione Procurar e selecione o certificado criado anteriormente.

e. Clique em OK.

Repita as etapas a – e para cada certificado no seu caminho de certificados. 

  1. No front-end da Web do SharePoint, emita um IISReset
    1. Iniciar | Executar | cmd
    2. IISReset <enter>
  2. Teste a criação da fonte de dados do Dashboard Designer criando uma nova fonte de dados da lista do SharePoint, assim como uma fonte de dados dos Serviços do Excel.

Anexo A: Verificando os certificados importados

Algumas vezes pode ser necessário verificar se os certificados são importados corretamente ou reciprocamente para validar que os certificados foram removidos totalmente do sistema.  Várias vezes, tivemos certificados teimosos que não são removidos totalmente do sistema até que fossem removidos destes repositórios de certificados no Registro.

  1. Iniciar Regedit
    1. Menu Iniciar
    2. Executar
    3. Regedit
  2. Verifique HKEY_LOCAL_MACHINE e HKEY_LOCAL_USER seguido por SOFTWARE\Microsoft\SystemCertificates\My\Certificates
  3. Compare o valor da Impressão Digital do certificado com os nós exibidos no container Certificados.
     

Anexo B Comandos do PowerShell que podem ser úteis

Verificando os certificados com o PowerShell

O script a seguir exportará uma lista de certificados instalados na Confiança Gerenciada do SharePoint com a qual você pode comparar os certificados adicionados aos seus Certificados Locais.

Verificando certificados adicionados para a Autoridade de Certificação Local

Isto é tudo! Não é particularmente complicado, mas há algumas etapas para passar antes de que tudo funcione corretamente.

John Fulton
Engenheiro de Escalonamento de Suporte da Microsoft
SharePoint, Office BI

Esta é uma publicação localizada. Encontre o artigo original em Leveraging PerformancePoint in HTTPS Enabled Sites