Esquerda com 0 certificados de clientes para escolher ao mover o serviço do SSRS para o TLS 1.2

1

Ambiente :

Reporting Services em execução em uma instalação do SQL Server 2008 R2 SP3 em um servidor Windows 2008 com .Net 4.6.1 instalado e .Net 3.5 ativado como recurso. IIS, banco de dados e serviço de relatórios, tudo na máquina local (URL de login personalizado em uma máquina diferente, mas parece que isso não está relacionado).

Alterações feitas :

Devido a razões de segurança, somos forçados a migrar para o TLS 1.2, assim fizemos com o IISCrypto, permitindo apenas o TLS 1.2

Resultado :

A partir deste momento, só recebemos um erro ao tentar acessar o site do Gerenciamento de relatórios:

The underlying connection was closed: An unexpected error occurred on a receive

Nos logs do SSRS, podemos ver a seguinte exceção:

System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a receive. ---> System.ComponentModel.Win32Exception: The client and server cannot communicate, because they do not possess a common algorithm

Ativando rastreamentos no .Net Framework, encontrei as seguintes mensagens:

 System.Net Information: 0 : [4996] SecureChannel#40644060::.ctor(hostname=localurl,#clientCertificates=0)
 System.Net Information: 0 : [4996] Enumerating security packages:
 System.Net Information: 0 : [4996]     Negotiate
 System.Net Information: 0 : [4996]     Kerberos
 System.Net Information: 0 : [4996]     NTLM
 System.Net Information: 0 : [4996]     Schannel
 System.Net Information: 0 : [4996]     Microsoft Unified Security Protocol Provider
 System.Net Information: 0 : [4996]     WDigest
 System.Net Information: 0 : [4996]     DPA
 System.Net Information: 0 : [4996]     Digest
 System.Net Information: 0 : [4996]     MSN
 System.Net Information: 0 : [4996]     PWDSSP
 System.Net Information: 0 : [4996] SecureChannel#40644060 - Left with 0 client certificates to choose from.

As coisas já foram verificadas :

O certificado em uso ainda é válido e sua cadeia de assinatura é colocada nos repositórios "Intermediários" e "Raiz" apropriados.

A execução do pool de aplicativos como administrador não ajuda.

Usar um certificado assinado personalizado gerado a partir do IIS não ajuda.

Importante : O problema só acontece no site de Gerenciamento do Reporting Services, os relatórios funcionam bem

Próximos passos

Alguma idéia sobre o que mais tentar? Existe uma maneira de saber por que os pacotes de segurança não foram selecionados?

    
por Ignacio Soler Garcia 05.04.2018 / 15:01

0 respostas