Поделиться через

Удаление и повторное создание ключей шифрования (диспетчер конфигурации SSRS)

Удаление и повторное создание ключей шифрования — это действия, которые выходят за рамки регулярного обслуживания ключа шифрования. Эти задачи выполняются в ответ на определенную угрозу для сервера отчетов или в качестве последнего способа, когда вы больше не сможете получить доступ к базе данных сервера отчетов.

  • Повторно создайте симметричный ключ, если вы считаете, что существующий симметричный ключ скомпрометирован. Вы также можете повторно создать ключ на регулярной основе в качестве рекомендации по обеспечению безопасности.

  • Удалите существующие ключи шифрования и неиспользуемое зашифрованное содержимое, если не удается восстановить симметричный ключ.

Повторное создание ключей шифрования

Если у вас есть доказательства того, что симметричный ключ известен неавторизованным пользователям, или если сервер отчетов был под атакой, и вы хотите сбросить симметричный ключ в качестве меры предосторожности, вы можете повторно создать симметричный ключ. При повторном создании симметричного ключа все зашифрованные значения будут повторно зашифрованы с помощью нового значения. Если вы используете развертывание с масштабированием, в котором работает несколько серверов отчетов, все копии симметричного ключа будут обновлены новым значением. Сервер отчетов использует открытые ключи, доступные для него, для обновления симметричного ключа для каждого сервера в развертывании.

Вы можете повторно создать симметричный ключ только в том случае, если сервер отчетов находится в рабочем состоянии. Повторное создание ключей шифрования и повторное шифрование содержимого нарушает операции сервера. Необходимо отключить сервер во время повторного шифрования. Во время повторного шифрования не должно быть запросов к серверу отчетов.

Вы можете использовать средство настройки служб Reporting Services или программу rskeymgmt для сброса симметричного ключа и зашифрованных данных. Дополнительные сведения о создании симметричного ключа см. в разделе инициализация сервера отчетов (Диспетчер конфигурации SSRS).

Как повторно создать ключи шифрования (средство настройки служб Reporting Services)

  1. Отключите веб-службу сервера отчетов и доступ по HTTP, изменив свойство IsWebServiceEnabled в файле rsreportserver.config. Этот шаг временно останавливает отправку запросов проверки подлинности на сервер отчетов без полного завершения работы сервера. Необходим минимальный уровень обслуживания, чтобы можно было восстановить ключи.

    Если вы воссоздаете ключи шифрования для развертывания сервера отчетов, отключите это свойство во всех экземплярах развертывания.

    1. Откройте проводник Windows и перейдите на диск:\Program Files\Microsoft SQL Server\report_server_instance\Reporting Services. Замените букву диска на вашу букву диска и report_server_instance на имя папки, соответствующей экземпляру сервера отчетов, для отключения доступа к веб-службе и HTTP. Например, C:\Program Files\Microsoft SQL Server\MSRS10_50.MSSQLSERVER\Reporting Services.

    2. Откройте файл rsreportserver.config.

    3. IsWebServiceEnabled Для свойства укажите Falseи сохраните изменения.

  2. Запустите средство настройки служб Reporting Services и подключитесь к экземпляру сервера отчетов, который требуется настроить.

  3. На странице "Ключи шифрования" нажмите кнопку "Изменить". Нажмите кнопку ОК.

  4. Перезапустите службу Windows сервера отчетов. Если вы воссоздаете ключи шифрования для распределенного развертывания, перезапустите службу на всех узлах.

  5. Повторно включите доступ к веб-службе и HTTP, изменив IsWebServiceEnabled свойство в файле rsreportserver.config. Сделайте это для всех экземпляров, если вы работаете с масштабируемым развертыванием.

Как повторно создать ключи шифрования (rskeymgmt)

  1. Отключите веб-службу сервера отчетов и http-доступ. Используйте инструкции, описанные в предыдущей процедуре, чтобы остановить операции веб-службы.

  2. Запустите rskeymgmt.exe локально на компьютере, на котором размещен сервер отчетов. Используйте аргумент -s для сброса симметричного ключа. Другие аргументы не требуются:

    rskeymgmt -s

  3. Перезапустите службу Windows и включите операции веб-службы.

Удаление неиспользуемого зашифрованного содержимого

Если по какой-то причине невозможно восстановить ключ шифрования, сервер отчетов никогда не сможет расшифровать и использовать все данные, зашифрованные с этим ключом. Чтобы вернуть сервер отчетов в рабочее состояние, необходимо удалить зашифрованные значения, которые в настоящее время хранятся в базе данных сервера отчетов, а затем вручную указать необходимые значения.

При удалении ключей шифрования удаляются все сведения симметричного ключа из базы данных сервера отчетов и удаляются все зашифрованное содержимое. Все незашифрованные данные остаются без изменений; Удаляется только зашифрованное содержимое. При удалении ключей шифрования сервер отчетов повторно инициализирует себя автоматически, добавив новый симметричный ключ. При удалении зашифрованного содержимого происходит следующее:

  • Строки подключения в общих источниках данных удаляются. Пользователи, выполняющие отчеты, получают ошибку "Свойство ConnectionString не инициализировано".

  • Сохраненные учетные данные удаляются. Отчеты и общие источники данных перенастраиваются для использования запрашиваемых учетных данных.

  • Отчеты, основанные на моделях (и требующие общих источников данных, настроенных с сохраненными или без учетных данных), не будут выполняться.

  • Подписки деактивированы.

После удаления зашифрованного содержимого его невозможно восстановить. Необходимо повторно указать строки подключения и сохраненные учетные данные, а также активировать подписки.

Для удаления значений можно использовать средство настройки служб Reporting Services или служебную программу rskeymgmt .

Как удалить ключи шифрования (конфигурационный инструмент Reporting Services)

  1. Запустите средство настройки служб Reporting Services и подключитесь к экземпляру сервера отчетов, который требуется настроить.

  2. Щелкните ключи шифрования и затем щелкните Удалить. Нажмите кнопку ОК.

  3. Перезапустите службу Windows сервера отчетов. Для развертывания горизонтального масштабирования выполните это действие на всех экземплярах сервера отчетов.

Удаление ключей шифрования (rskeymmgt)

  1. Запустите rskeymgmt.exe локально на компьютере, на котором размещен сервер отчетов. Необходимо использовать аргумент -d apply. В следующем примере показан аргумент, который необходимо указать:

    rskeymgmt -d

  2. Перезапустите службу Windows сервера отчетов. Для развертывания горизонтального масштабирования сделайте это во всех экземплярах сервера отчетов.

Как повторно указать зашифрованные значения

  1. Для каждого общего источника данных необходимо повторно ввести строку подключения.

  2. Для каждого отчета и общего источника данных, использующего сохраненные учетные данные, необходимо повторно введите имя пользователя и пароль, а затем сохраните его. Дополнительные сведения см. в разделе "Указание учетных данных и сведений о подключении" для источников данных отчета в электронной документации по SQL Server.

  3. Для каждой подписки, управляемой данными, откройте подписку и введите учетные данные заново в базу данных подписки.

  4. Для подписок, использующих зашифрованные данные (в том числе расширение доставки файловых ресурсов и любое стороннее расширение доставки, использующее шифрование), откройте каждую подписку и заново введите учетные данные. Подписки, использующие доставку электронной почты через сервер отчетов, не используют зашифрованные данные и не затрагиваются изменением ключа.

См. также

Настройка ключей шифрования и управление ими (диспетчер конфигурации SSRS)
Хранение зашифрованных данных сервера отчетов (диспетчер конфигурации служб SSRS)