Click here for the English article.
Einleitung
Die Einrichtung von SSL für den Report Server im IIS sorgt für eine sichere Übertragung von Daten, insbesondere von sensiblen Informationen wie Passwörtern oder Konfigurationsdaten. Ohne SSL würden diese Daten unverschlüsselt über das Netzwerk übertragen werden, was ein schweres Sicherheitsrisiko darstellen könnte.
Dieser Artikel beschreibt die manuelle Konfiguration von SSL im IIS-Manager für den Report Server.
Voraussetzungen
Bevor mit der Einrichtung begonnen werden kann, müssen die folgenden Anforderungen erfüllt sein:
- Zugriff auf den IIS-Manager mit Administratorrechten
- Ein gültiges SSL-Zertifikat, das entweder von einer Zertifizierungsstelle (CA) oder intern generiert wurde
- Zugriff auf die Report Server-Website im IIS
- Basiswissen über die Verwaltung von IIS
Durchführung
1. SSL-Zertifikat besorgen
Um HTTPS zu aktivieren, wird zwingend ein SSL-Zertifikat benötigt. Ein solches SSL-Zertifikat kann auf unterschiedliche Weise bezogen werden:
Externe Zertifizierungsstellen
Ein Zertifikat kann in den meisten Fällen bei einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) erworben werden. Bekannte Anbieter sind:
- DigiCert
- GlobalSign
- Let’s Encrypt (kostenlos, erfordert regelmäßige Erneuerung: https://letsencrypt.org/)
- RapidSSL
Interne Zertifizierungsstelle
Falls das Unternehmen eine eigene Windows-Zertifizierungsstelle betreibt (Active Directory-Zertifikatdienste), kann natürlich auch ein internes Zertifikat erstellt werden. Dieses muss jedoch manuell auf allen Clients installiert werden, die den Report Server nutzen möchten, oder per Gruppenrichtlinie (GPO) verteilt werden.
Eigensignierte Zertifikate (nur für Tests)
Für Tests oder Entwicklungszwecke kann auch ein eigensigniertes Zertifikat verwendet werden. Dies ist jedoch nicht für den produktiven Einsatz geeignet, da es nicht von einer offiziellen Zertifizierungsstelle signiert wurde und zu Sicherheitswarnungen in Browsern führen kann.
2. Installation des Zertifikats im IIS
Nachdem ein SSL-Zertifikat beschafft wurde, muss es wie folgt im IIS installiert werden:
-
IIS-Manager öffnen
Windows-Taste + R
drücken,inetmgr
eingeben und mitEnter
bestätigen. -
Serverzertifikate aufrufen
- In der linken Baumstruktur den Servernamen auswählen.
- Im mittleren Bereich auf
Serverzertifikate
doppelklicken.
-
Zertifikat importieren oder erstellen
- Falls ein bereits vorhandenes Zertifikat importiert werden soll, auf
Importieren
klicken und die Zertifikatsdatei auswählen. - Falls ein neues Zertifikat erstellt werden soll, auf
Domänenzertifikat erstellen
klicken und die erforderlichen Informationen eingeben. - Alternativ kann für interne Tests mit
Selbstsigniertes Zertifikat erstellen
ein selbstsigniertes Zertifikat erzeugt werden.
- Falls ein bereits vorhandenes Zertifikat importiert werden soll, auf
3. HTTPS-Bindung aktivieren
Um die Report Server-Website über HTTPS erreichbar zu machen, muss eine sogenannte HTTPS-Bindung eingerichtet werden:
-
Zur Report Server-Website navigieren
Im IIS-Manager in der linken Baumstruktur dieReport Server
-Website auswählen. -
Bindungen öffnen
Auf der rechten Seite aufBindungen...
klicken. -
Neue HTTPS-Bindung hinzufügen
- Auf
Hinzufügen...
klicken. - Bei
Typ
den Werthttps
auswählen. - Das zuvor importierte Zertifikat auswählen.
- Falls erforderlich, eine spezifische IP-Adresse oder den Standardwert
Alle nicht zugewiesenen
auswählen. - Den Standardport für HTTPS (
443
) eingeben. - Auf
OK
klicken und die Änderungen speichern.
- Auf
4. SSL-Verbindung erzwingen (empfohlen)
Wir empfehlen, SSL zu erzwingen, sodass unverschlüsselte HTTP-Anfragen automatisch auf HTTPS umgeleitet werden:
-
SSL-Einstellungen aufrufen
- Im IIS-Manager die
Report Server
-Website auswählen. - Im mittleren Bereich auf
SSL-Einstellungen
doppelklicken.
- Im IIS-Manager die
-
SSL aktivieren
SSL erforderlich
aktivieren.- Auf
Übernehmen
klicken, um die Änderungen zu speichern.
-
HTTP auf HTTPS umleiten (empfohlen)
- Wir empfehlen, eine Umleitung so zu konfigurieren, dass HTTP-Anfragen automatisch auf HTTPS weitergeleitet werden.
- Dies erfolgt über die
URL-Umschreibungen (Rewrite Rules)
im IIS.
5. Gemischter Modus (optionale Konfiguration)
Falls sowohl HTTP als auch HTTPS verwendet werden sollen, kann der sogenannte gemischte Modus
eingerichtet werden:
- Eine HTTP- und eine HTTPS-Bindung parallel einrichten.
- Anwendungsseitig kann SSL für bestimmte Seiten erzwungen werden, indem das
RequireHttps
-Attribut in ASP.NET MVC genutzt wird. - Weitere Informationen dazu gibt es hier: https://stackoverflow.com/questions/1639707/asp-net-mvc-requirehttps-in-production-only