Partager via

Supprimer et recréer des clés de chiffrement (Gestionnaire de configuration SSRS)

La suppression et la recréation de clés de chiffrement sont des activités qui se trouvent en dehors de la maintenance de la clé de chiffrement de routine. Vous effectuez ces tâches en réponse à une menace spécifique pesant sur votre serveur de rapports ou comme ultime recours si vous ne pouvez plus accéder à la base de données du serveur de rapports.

  • Recréez la clé symétrique lorsque vous pensez que la clé symétrique existante est compromise. Vous pouvez également recréer la clé régulièrement en tant que meilleure pratique de sécurité.

  • Supprimez les clés de chiffrement existantes et le contenu chiffré inutilisable lorsqu'il vous est impossible de restaurer la clé symétrique.

Recréer des clés de chiffrement

Si vous avez des preuves que la clé symétrique est connue des utilisateurs non autorisés ou si votre serveur de rapports a été attaqué et que vous souhaitez réinitialiser la clé symétrique en guise de précaution, vous pouvez recréer la clé symétrique. Lorsque vous recréez la clé symétrique, toutes les valeurs chiffrées seront rechiffrés à l’aide de la nouvelle valeur. Si vous exécutez plusieurs serveurs de rapports dans un déploiement évolutif, tous les exemplaires de la clé symétrique seront mis à jour avec cette nouvelle valeur. Le serveur de rapports utilise les clés publiques disponibles pour cette clé symétrique qu'il met à jour pour chaque serveur dans le déploiement.

Vous ne pouvez recréer la clé symétrique que lorsque le serveur de rapports est dans un état de travail. La recréation des clés de chiffrement et le rechiffrage de contenu interrompt les opérations du serveur. Vous devez mettre le serveur en mode hors connexion tandis que vous procédez au nouveau chiffrement. Aucune demande ne doit être adressée au serveur de rapports durant cette opération.

Vous pouvez utiliser l’outil de configuration de Reporting Services ou l’utilitaire rskeymgmt pour réinitialiser la clé symétrique et les données chiffrées. Pour plus d’informations sur la création de la clé symétrique, consultez Initialiser un serveur de rapports (Gestionnaire de configuration SSRS).

Comment recréer des clés de chiffrement (Outil de configuration Reporting Services)

  1. Désactivez le service Web Report Server et l’accès HTTP en modifiant la IsWebServiceEnabled propriété dans le fichier rsreportserver.config. Cette étape arrête temporairement l'envoi des demandes d'authentification au serveur de rapports sans arrêter complètement le serveur. Vous devez avoir le service minimal afin de pouvoir recréer les clés.

    Si vous recréez des clés de chiffrement pour un déploiement évolutif de serveurs de rapports, désactivez cette propriété sur toutes les instances du déploiement.

    1. Ouvrez l'Explorateur Windows et naviguez jusqu'au lecteur:\Program Files\Microsoft SQL Server\report_server_instance\Reporting Services. Remplacez lecteur par votre lettre de lecteur et instance_serveur_rapports par le nom du dossier qui correspond à l’instance de serveur de rapports pour laquelle vous souhaitez désactiver le service web et l’accès HTTP. Par exemple, C:\Program Files\Microsoft SQL Server\MSRS10_50.MSSQLSERVER\Reporting Services.

    2. Ouvrez le fichier rsreportserver.config.

    3. Pour la IsWebServiceEnabled propriété, spécifiez False, puis enregistrez vos modifications.

  2. Démarrez l'outil de configuration de Reporting Services et connectez-vous à l'instance de serveur de rapports à configurer.

  3. Dans la page Clés de chiffrement, cliquez sur Modifier. Cliquez sur OK.

  4. Redémarrez le service Windows Report Server. Si vous recréez des clés de chiffrement pour un déploiement évolutif, redémarrez le service sur toutes les instances.

  5. Réactivez le service Web et l’accès HTTP en modifiant la IsWebServiceEnabled propriété dans le fichier rsreportserver.config. Effectuez cette action pour toutes les instances si vous utilisez un déploiement scale-out.

Comment recréer des clés de chiffrement (rskeymgmt)

  1. Désactivez le service Web Report Server et l'accès HTTP. Suivez les instructions de la procédure précédente pour interrompre les opérations du service Web.

  2. Exécutez le fichier rskeymgmt.exe localement sur l'ordinateur qui héberge le serveur de rapports. Utilisez l’argument -s pour réinitialiser la clé symétrique. Aucun autre argument n'est obligatoire :

    rskeymgmt -s

  3. Redémarrez le service Windows et activez les opérations de service web.

Suppression du contenu chiffré inutilisable

Si, pour une raison ou pour une autre, vous ne pouvez pas restaurer la clé de chiffrement, le serveur de rapports sera dans l'incapacité totale de déchiffrer les données chiffrées avec cette clé pour les utiliser. Pour que le serveur de rapports puisse fonctionner de nouveau, vous devez supprimer les valeurs chiffrées qui sont actuellement stockées dans la base de données du serveur de rapports et redéfinir manuellement les valeurs dont vous avez besoin.

La suppression des clés de chiffrement efface toutes les informations de clé symétrique de la base de données du serveur de rapports et supprime tout contenu chiffré. Les données non chiffrées sont intactes, seul le contenu chiffré est supprimé. Lorsque vous détruisez les clés de chiffrement, le serveur de rapports se réinitialise automatiquement en ajoutant une nouvelle clé symétrique. Les événements suivants se produisent lorsque vous supprimez des données chiffrées :

  • Les chaînes de connexion des sources de données partagées sont supprimées. Les utilisateurs qui exécutent des rapports reçoivent le message d'erreur suivant : « La propriété ConnectionString n'a pas été initialisée ».

  • Les informations d'identification sont supprimées. Les rapports et les sources de données partagées sont reconfigurées pour utiliser les informations d'identification qui sont demandées.

  • Les rapports basés sur des modèles (et qui font appel à des sources de données partagées configurées à l'aide d'informations d'identification stockées ou non) ne s'exécutent plus.

  • Les abonnements sont désactivés.

Le contenu chiffré qui est supprimé est irrémédiablement perdu. Vous devez spécifier à nouveau des chaînes de connexion et des informations d'identification stockées, puis activer les abonnements.

Vous pouvez utiliser l’outil de configuration de Reporting Services ou l’utilitaire rskeymgmt pour supprimer ces valeurs.

Procédure de suppression des clés de chiffrement (outil de configuration de Reporting Services)

  1. Démarrez l'outil de configuration de Reporting Services et connectez-vous à l'instance de serveur de rapports à configurer.

  2. Cliquez sur Clés de chiffrement, puis sur Supprimer. Cliquez sur OK.

  3. Redémarrez le service Windows Report Server. Pour un déploiement évolutif, effectuez cette opération sur toutes les instances de serveurs de rapports.

Procédure de suppression des clés de chiffrement (rskeymmgt)

  1. Exécutez le fichier rskeymgmt.exe localement sur l'ordinateur qui héberge le serveur de rapports. Vous devez utiliser l’argument d’application -d . L'exemple suivant illustre l'argument que vous devez spécifier :

    rskeymgmt -d

  2. Redémarrez le service Windows Report Server. Pour un déploiement évolutif, effectuez cette opération sur toutes les instances de serveurs de rapports.

Procédure de redéfinition des valeurs chiffrées

  1. Indiquez de nouveau la chaîne de connexion de chaque source de données partagée.

  2. Pour chaque rapport et chaque source de données partagée utilisant des informations d'identification stockées, vous devez retaper le nom d'utilisateur et le mot de passe, puis les enregistrer. Pour plus d’informations, consultez Spécifier les informations d’identification et de connexion pour les sources de données de rapport dans la documentation en ligne de SQL Server.

  3. Pour les abonnements pilotés par les données, ouvrez chaque abonnement et retapez les informations d'identification dans la base de données d'abonnement.

  4. Pour les abonnements utilisant des données chiffrées (ce qui comprend l'extension de remise dans le partage de fichiers et toute extension de remise créées par d'autres développeurs qui utilisent le chiffrement), ouvrez chaque abonnement et retapez les informations d'identification. Les abonnements utilisant la remise par messagerie électronique du serveur de rapports n'ont pas recours aux données chiffrées, ils ne sont donc pas concernés par les modifications apportées à la clé.

Voir aussi

Configurer et gérer des clés de chiffrement (Gestionnaire de configuration SSRS)
Stocker les données chiffrées du serveur de rapports (Gestionnaire de configuration SSRS)

  • Last updated on