Verwenden von PerformancePoint in HTTPS-fähigen Websites

  • Article

Veröffentlichung des Originalartikels: 20.06.2012

Dieser Blog ist längst überfällig. Es geht hier um ein Problem, über das Kunden dem Support schon seit einziger Zeit berichten. Wenn Sie versucht haben, PerformancePoint Services für die Verwendung in einer HTTPS-fähigen Website zu konfigurieren, haben Sie wahrscheinlich bei dem Versuch, eine Datenquellenverbindung entweder zu einer SharePoint-Liste oder zu einer Excel Services-Datenquelle herzustellen, mehrere Fehlermeldungen erhalten.

Im Folgenden werden einige der Fehlermeldungen aufgeführt, die Sie vielleicht erhalten haben. Eine ist spezifisch für PerformancePoint, die andere hängt mit SharePoint Foundation zusammen.

PerformancePoint-Dashboard-Fehlermeldung:
"Es konnte keine Verbindung mit der angegebenen Datenquelle hergestellt werden. Überprüfen Sie, ob entweder der aktuelle Benutzer oder das unbeaufsichtigte Dienstkonto gemäß der Sicherheitskonfiguration über Leseberechtigungen für die Datenquelle verfügt. Stellen Sie zudem sicher, dass alle erforderlichen Verbindungsinformationen bereitgestellt wurden und korrekt sind."

ULS-Fehlermeldungen:

"SharePoint Foundation | Topologie | 8311 | Kritisch | Bei einem Vorgang ist ein Fehler aufgetreten, weil bei dem folgenden Zertifikat Validierungsfehler vorliegen:<<Zertifikat-Pfad & Zertifikat-Fußabdruck>>nnFehler:nn Das Stammzertifikat der Zertifikatkette ist keine vertrauenswürdige Stammzertifizierungsstelle."

"PerformancePoint Service | PerformancePoint Services | ef8z | Kritisch | Es konnte keine Verbindung mit der angegebenen Datenquelle hergestellt werden. Überprüfen Sie, ob entweder der aktuelle Benutzer oder das unbeaufsichtigte Dienstkonto gemäß der Sicherheitskonfiguration über Leseberechtigungen für die Datenquelle verfügt. Stellen Sie zudem sicher, dass alle erforderlichen Verbindungsinformationen bereitgestellt wurden und korrekt sind.  System.Net.WebException: Die zugrunde liegende Verbindung wurde geschlossen: Es konnte keine Vertrauensstellung für den sicheren SSL/TLS-Kanal ..."

Die aufschlussreichste Fehlermeldung ist die SharePoint Foundation-Fehlermeldung, denn sie weist darauf hin, dass das tatsächliche Problem mit einem Zertifikat zusammenhängt. Die PerformancePoint-Meldungen sind u. U. etwas irreführend, da sie Sie auf den Fehlerbehebungspfad für Probleme mit Authentifizierung und Autorisierung bringen können. Das ist zwar im Kern auch das eigentliche Problem, doch es gibt nicht viele Möglichkeiten um sicherzustellen, dass das unbeaufsichtigte Dienstkonto oder das Dienstkonto selbst alle benötigten Berechtigungen hat. Abgesehen davon: Wenn es sich um ein Zertifikatproblem handelt, orientieren Sie sich immer an der schwerwiegenden SharePoint Foundation-ULS-Fehlermeldung – diese weist immer eindeutig auf Zertifikatprobleme in PerformancePoint hin. Wenn Sie diese Fehlermeldungen erhalten haben, probieren Sie die folgende Vorgehensweise aus. Viele Kunden hatten mit dieser Lösung Erfolg.

Lösung
Annahme: Es wird davon ausgegangen, dass die Zertifikate bereits abgerufen und die Bindungen für die verwendeten SharePoint-Websites bereits in IIS konfiguriert worden sind. Wenn diese fehlerfrei konfiguriert worden sind, können Sie durch Ihre HTTPS-Websites navigieren, ohne Zertifikatfehler zu erhalten. (In diesem Blogbeitrag finden Sie einen passablen Überblick über den Prozess sowie Links zu maßgeblicher Dokumentation.)

Schritt 1: Extrahieren von Zertifikaten zum SharePoint-Server
Jedes Zertifikat im Zertifikatpfad (Stamm, Zwischenknoten und Blatt) muss in den Speicher Vertrauenswürdige Stammzertifizierungsstellen des lokalen Computers installiert werden. Dazu müssen Sie jedes Zertifikat im Zertifikatpfad aus dem "gebündelten" Zertifikat extrahieren.

  1. Navigieren Sie zum Web-Front-End oder Anwendungsserver.
  2. Öffnen Sie Internet Explorer, und navigieren Sie zu der Website, die Sie verwenden möchten (https://site).
  3. Rufen Sie das Zertifikat auf, das mit der Website verknüpft ist, indem Sie den URL-Sicherheitsbericht anzeigen.
    1. Klicken Sie auf das Vorhängeschloss-Symbol rechts von der URL .
    2. Klicken Sie auf Zertifikate anzeigen.
  4. Klicken Sie auf die Registerkarte Zertifikatpfad.

  1. Wählen Sie den Stammknoten im Zertifikatpfad aus, und klicken Sie dann auf Zertifikat anzeigen.

  1. Klicken Sie im Fenster Zertifikat auf die Registerkarte Details.
  2. Klicken Sie auf die Schaltfläche In Datei kopieren.
  3. Der Zertifikatexport-Assistent wird geöffnet.
  4. Wählen Sie das Standardzertifikatformat DER-codiert-binär X.509 (.CER) aus, und klicken Sie auf Weiter.

  1. Geben Sie einen Speicherort für die Datei an, und geben Sie der Datei den Dateinamen RootCertificate. (Klicken Sie auf Weiter).
    1. Geben Sie zuerst einen Speicherort an, indem Sie auf die Schaltfläche Durchsuchen klicken.
    2. Klicken Sie auf Desktop.
    3. Geben Sie einen Namen an (z. B. Root).

  1. Klicken Sie auf Fertig stellen.
  2. Wiederholen Sie die Schritte 4 bis 10 für jedes Zertifikat im Zertifikatpfad.

Schritt 2: Hinzufügen jedes Zertifikats zu den vertrauenswürdigen Stammzertifizierungsstellen
Jedes exportierte Zertifikat muss auf jedem Server in der Farm in den Speicher Vertrauenswürdige Stammzertifizierungsstellen des lokalen Computers importiert werden.

  1. Stellen Sie auf jedem Server in der Farm sicher, dass die exportierten Zertifikate dem Speicher Vertrauenswürdige Stammzertifizierungsstellen des lokalen Computers hinzugefügt wurden. (Am einfachsten ist es, die Zertifikate einfach auf jeden Server in der Farm zu kopieren, nachdem sie auf dem ersten Server exportiert worden sind).
  2. Starten Sie die lokale Zertifikatverwaltung.

a. Klicken Sie auf Start, auf Ausführen und dann auf MMC.

b. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.

c. Wählen Sie im Fenster Snap-Ins hinzufügen bzw. entfernen die Option Zertifikate aus, und klicken Sie auf die Schaltfläche Hinzufügen.

d. Klicken Sie im Fenster für das Snap-In Zertifikate auf Computerkonto und dann auf Weiter.

e. Klicken Sie auf Lokaler Computer und dann auf Fertig stellen.

f. Zurück im Fenster Snap-Ins hinzufügen bzw. entfernen klicken Sie auf OK.

g. Erweitern Sie im Konsolenfenster den Knoten Zertifikate (Lokaler Computer) .

 
h. Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen, dann auf Alle Aufgaben und dann auf Importieren.

i. Navigieren Sie zu dem Stammzertifikat, das Sie zuvor exportiert haben, und klicken Sie auf Weiter.
j. Wählen Sie in den weiteren Fenstern die Standardwerte aus, und klicken Sie zuletzt auf Fertig stellen. Sie sollten eine Meldung erhalten, wonach der Import erfolgreich ausgeführt wurde.

Wiederholen Sie die Schritte h bis i für jedes Zertifikat im Zertifikatpfad.

Schritt 3: Hinzufügen jedes Zertifikats zur verwalteten Vertrauensstellung von SharePoint

  1. Sobald das Zertifikat lokal installiert ist, müssn Sie es zur verwalteten Vertrauensstellung von SharePoint hinzufügen. Diesen Schritt müssen Sie nur auf einem der Server ausführen, da die Vertrauensstellung in der gesamten Farm erkannt wird. Fügen Sie jedes Zertifikat der verwalteten Vertrauensstellung von SharePoint hinzu.

a. Öffnen Sie die SharePoint-Zentraladministration, und navigieren Sie zu Sicherheit und dann zu Vertrauensstellung verwalten.
 

b. Klicken Sie auf dem Menüband Vertrauensstellungen auf Neu. Das Fenster Vertrauensstellung einrichten wird geöffnet.
c. Geben Sie im Bereich Allgemeine Einstellung einen Namen ein (z. B. RootCA, IntermediateLevel1, IntermediateLevel2).
d. Klicken Sie im Bereich Stammzertifikat für die Vertrauensstellung auf Durchsuchen, und wählen Sie das zuvor erstellte Zertifikat aus.

e. Klicken Sie auf OK.

Wiederholen Sie die Schritte a bis e für jedes Zertifikat im Zertifikatpfad. 

  1. Führen Sie auf dem SharePoint-Web-Front-End einen IISReset aus.
    1. Klicken Sie auf Start, auf Ausführen, und geben Sie cmd ein.
    2. Geben Sie IISReset ein, und drücken Sie die EINGABETASTE.
  2. Testen Sie die Erstellung der Dashboard-Designer-Datenquelle, indem Sie eine neue SharePoint-Listen-Datenquelle und eine Excel Services-Datenquelle erstellen.

Anhang A: Überprüfen des Imports der Zertifikate

Manchmal ist es notwendig, zu überprüfen, ob Zertifikate korrekt importiert wurden oder – umgekehrt – ob Zertifikate vollständig aus dem System entfernt wurden. Es ist schon vorgekommen, dass ein paar besonders "hartnäckige" Zertifikate sich nicht aus dem System entfernen ließen, sie konnten nur durch Entfernen aus diesen Zertifikatspeichern in der Registrierung beseitigt werden.

  1. Starten Sie Regedit.
    1. Klicken Sie auf Start.
    2. Klicken Sie auf Ausführen.
    3. Geben Sie Regedit ein.
  2. Überprüfen Sie sowohl HKEY_LOCAL_MACHINE als auch HKEY_LOCAL_USER und danach SOFTWAREMicrosoftSystemCertificatesMyCertificates.
  3. Vergleichen Sie den Fußabdruckwert des Zertifikats mit den Knoten, die im Container Zertifikate angezeigt werden.
     

Anhang B: Nützliche PowerShell-Befehle

Überprüfen von Zertifikaten mithilfe von PowerShell

Das folgende Skript exportiert eine Liste der Zertifikate, die in der verwalteten Vertrauensstellung von SharePoint installiert wurden. Diese können Sie dann mit den Zertifikaten vergleichen, die Ihren lokalen Zertifikaten hinzugefügt wurden.

Überprüfen von Zertifikaten, die der lokalen Zertifizierungsstelle hinzugefügt wurden

Das war's schon! Nicht sehr kompliziert, aber einige Schritte sind doch durchzuführen, bis alles einwandfrei funktioniert.

John Fulton
Microsoft Support Escalation Engineer
SharePoint, Office BI

Dies ist ein übersetzter Blogbeitrag. Den Originalartikel finden Sie unter Leveraging PerformancePoint in HTTPS Enabled Sites