Langsame Website aufgrund der Überprüfung der SharePoint STS-Zertifikatsperrliste

  • Artikel
  • Gilt für::
    SharePoint Foundation 2010, SharePoint Server 2010

Symptome

Angenommen, Sie verfügen über eine Webanwendung, die anspruchsbasierte Authentifizierung in SharePoint Foundation 2010 oder SharePoint Server 2010 verwendet. Der SharePoint-Server hat keinen Zugriff auf das Internet, oder der Server wird durch eine Firewall geschützt, in der eingeschränkte Ports geöffnet sind. In dieser Situation treten bei Benutzern zeitweilig lange Verzögerungen auf, wenn sie bestimmte Vorgänge ausführen, z. B. sich bei der Website anmelden oder eine Suche durchführen. Benutzer können auch HTTP-Timeouts feststellen, wenn sie diese Vorgänge ausführen.

Ursache

SharePoint verwendet Zertifikate zum Signieren von Sicherheitstoken, die vom Sicherheitstokendienst (Security Token Service, STS) ausgestellt werden. Wie bei allen Zertifikaten muss die Gültigkeit des STS-Zertifikats regelmäßig überprüft werden, um sicherzustellen, dass das Zertifikat nicht widerrufen wurde. Standardmäßig wird das Stammzertifikat in der Kette nicht dem Speicher für vertrauenswürdige Stammzertifizierungsstellen der SharePoint-Server hinzugefügt. Aus diesem Grund wird die Überprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL) für das Zertifikat über das Internet durchgeführt. Wenn der Online-Zertifikatsperrlistenserver vom SharePoint-Server aus irgendeinem Grund nicht erreicht werden kann, tritt für den Vorgang standardmäßig nach 15 Sekunden ein Zeitlimit auf. Auch wenn die Überprüfung der Zertifikatsperrliste nach 15 Sekunden fehlschlägt, kann die SharePoint-Seite nach der Verzögerung weiterhin gerendert werden.

Fehler bei der Zertifikatüberprüfung können nachverfolgt werden, indem die CAPI2-Ereignisprotokollierung auf dem SharePoint-Server aktiviert wird. Wenn die CAPI2-Ereignisprotokollierung aktiviert ist und die Überprüfung des Internetzertifikats fehlschlägt, werden im CAPI2-Ereignisprotokoll häufig die folgenden Fehlermeldungen angezeigt:

  • Buildchainfehler

    Ereignis-ID: 11
    Aufgabenkategorie: Buildchain
    subjectName (aus Ereignisdetails): SharePoint-Sicherheitstokendienst

  • Fehler beim Abrufen eines Objekts aus dem Netzwerk

    Ereignis-ID: 53
    Aufgabenkategorie: Abrufen des Objekts aus dem Netzwerk

    URL (aus Ereignisdetails): https://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

Informationen zum Aktivieren der CAPI2-Protokollierung finden Sie im Abschnitt "Weitere Informationen".

Lösung

Führen Sie eine der folgenden Problemumgehungen aus, um dieses Problem zu beheben:

Problemumgehung 1

Installieren Sie das SharePoint-Stammzertifizierungsstellenzertifikat im Speicher für vertrauenswürdige Stammzertifizierungsstellen. Nachdem das Stammzertifikat dem lokalen Zertifikatspeicher hinzugefügt wurde, wird die Zertifikatüberprüfung nicht mehr über das Internet durchgeführt. Die folgenden Schritte führen dazu, dass die BuildChain erfolgreich ist, indem das Zertifikat im lokalen Speicher gefunden wird, wodurch der Abruf eines Objekts aus dem Netzwerk entfällt. Die folgenden Schritte müssen auf jedem SharePoint-Server in der Farm ausgeführt werden, um das Stammzertifikat dem lokalen Zertifikatspeicher hinzuzufügen:

  1. Exportieren Sie das SharePoint-Stammzertifizierungsstellenzertifikat als physische Datei (.cer). Starten Sie die SharePoint 2010-Verwaltungsshell als Administrator, und führen Sie dann die folgenden Windows PowerShell Befehle aus:

    $rootCert = (Get-SPCertificateAuthority).RootCertificate   
$rootCert.Export("Cert") | Set-Content C:\SharePointRootAuthority.cer -Encoding byte

    Hinweis Dadurch wird das interne Stammzertifikat (.cer-Datei) für SharePoint auf Laufwerk C exportiert. Sie können diese Datei für den Import auf allen Servern in der Farm kopieren und verwenden, ohne die PowerShell-Befehle erneut ausführen zu müssen.

  2. Importieren Sie das SharePoint-Stammzertifizierungsstellenzertifikat in den Speicher für vertrauenswürdige Stammzertifizierungsstellen. Führen Sie die folgenden Schritte aus, um das SharePoint-Stammzertifizierungsstellenzertifikat dem Speicher für vertrauenswürdige Stammzertifizierungsstellen hinzuzufügen:

    Hinweis "Administratoren" ist die mindestens erforderliche Gruppenmitgliedschaft, um diese Schritte auszuführen.

    1. Tippen oder klicken Sie auf Start, geben Sie mmc in Suche starten ein, und drücken Sie dann die EINGABETASTE.
    2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
    3. Klicken Sie unter Verfügbare Snap-Ins auf Zertifikate und dann auf Hinzufügen.
    4. Wählen Sie unter Dieses Snap-In verwaltet immer Zertifikate für die Option Computerkonto aus, und klicken Sie dann auf Weiter.
    5. Wählen Sie Lokaler Computer aus, und klicken Sie dann auf Fertig stellen.
    6. Wenn Sie keine Weiteren Snap-Ins zur Konsole hinzufügen möchten, klicken Sie auf OK.
    7. Doppelklicken Sie in der Konsolenstruktur auf Zertifikate.
    8. Klicken Sie mit der rechten Maustaste auf den Speicher Vertrauenswürdige Stammzertifizierungsstellen.
    9. Klicken Sie auf Alle Aufgaben, klicken Sie auf Importieren , um das Zertifikat zu importieren, und führen Sie dann die Schritte im Zertifikatimport-Assistenten aus.

Problemumgehung 2

Deaktivieren Sie die automatische Aktualisierung von Stammzertifikaten auf den SharePoint-Servern. Gehen Sie dazu wie folgt vor:

  1. Doppelklicken Sie unter dem Knoten Computerkonfiguration im lokalen Gruppenrichtlinie Editor auf Richtlinien.
  2. Doppelklicken Sie auf Windows-Einstellungen, doppelklicken Sie auf Sicherheitseinstellungen, und doppelklicken Sie dann auf Richtlinien für öffentliche Schlüssel.
  3. Doppelklicken Sie im Bereich Details auf Zertifikatpfadüberprüfungseinstellungen.
  4. Klicken Sie auf die Registerkarte Netzwerkabruf, aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren, und deaktivieren Sie dann das Kontrollkästchen Zertifikate im Microsoft-Stammzertifikatprogramm automatisch aktualisieren (empfohlen).
  5. Klicken Sie auf OK, und schließen Sie dann die lokale Gruppenrichtlinie Editor.
  6. Führen Sie gpupdate/force aus, damit die Richtlinie sofort wirksam wird.

Hinweis Wenn die automatische Aktualisierung deaktiviert ist, müssen Sie möglicherweise auf neue Releases überwachen und dann die Zertifikatvertrauensstellung bei Bedarf manuell aktualisieren.

Auswirkungen der Deaktivierung automatischer Stammzertifikatupdates

Es sollte keine spezifischen Auswirkungen auf SharePoint geben, da wir selbstsignierte Zertifikate verwenden und diese selbst verwalten. Die SharePoint-Zertifikate haben zwar einen Ablauf, aber es gibt eine Integritätsregel, die darauf achtet und dann den Administrator warnt, sie zu aktualisieren oder erneut durchzuführen.

Der Standard zu berücksichtigende Aspekt ist für andere Zertifikate, die auf dem Computer verwendet werden (z. B. SSL-Zertifikate, Zertifikate zum Vertrauen von Downloadpaketen oder für SAFER-Richtlinien usw.), die von Zertifikaten ausgestellt werden, die mit den Zertifikaten im Speicher für vertrauenswürdige Stammzertifizierungsstellen verkettet sind.

Weitere Informationen

Aktivieren und Speichern des CAPI2-Protokolls über die Ereignisanzeige-Benutzeroberfläche

  1. Öffnen Sie die Ereignisanzeige. Klicken Sie zum Öffnen der Ereignisanzeige imStartmenü auf Systemsteuerung, doppelklicken Sie auf Verwaltung, und doppelklicken Sie dann auf Ereignisanzeige.
  2. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, vergewissern Sie sich, dass die angezeigte Aktion ausgeführt werden soll, und klicken Sie dann auf Weiter.
  3. Erweitern Sie im Bereich Konsole die Optionen Ereignisanzeige, Anwendungs- und Dienstprotokolle, Microsoft, Windows und CAPI2.
  4. Sie können jetzt die folgenden Aktionen ausführen:

    • Klicken Sie zum Aktivieren der CAPI2-Protokollierung mit der rechten Maustaste auf Betriebsbereit, und wählen Sie dann Protokoll aktivieren aus.

    • Um das Protokoll in einer Datei zu speichern, klicken Sie mit der rechten Maustaste auf Betriebsbereit, und wählen Sie dann Ereignisse speichern unter aus. Sie können die Protokolldatei im EVTX-Format (das über die Ereignisanzeige geöffnet werden kann) oder im XML-Format speichern.

    • Um die CAPI2-Protokollierung zu deaktivieren, klicken Sie mit der rechten Maustaste auf Betriebsbereit, und wählen Sie dann Protokoll deaktivieren aus.

    • Wenn im Protokoll Daten vorhanden sind, bevor Sie versuchen, das Problem zu reproduzieren, empfiehlt es sich, das Protokoll zu löschen. Dadurch können nur die für das Problemszenario relevanten Daten aus dem gespeicherten Protokoll gesammelt werden. Klicken Sie zum Löschen des Protokolls mit der rechten Maustaste auf Betriebsbereit, und wählen Sie dann Protokoll löschen aus.

    • Für die CAPI2-Diagnose kann das Protokoll schnell vergrößert werden, und es wird empfohlen, die Protokollgröße auf mindestens 4 Megabyte (MB) zu erhöhen, um relevante Ereignisse zu erfassen. Um die Protokollgröße zu erhöhen, klicken Sie mit der rechten Maustaste auf Betriebsbereit, und wählen Sie dann Eigenschaften aus. Erhöhen Sie in den Protokolleigenschaften die maximale Protokollgröße.

      Hinweis Die Standardgröße für das Ereignisprotokoll beträgt 1 MB.

Benötigen Sie weitere Hilfe? Navigieren Sie zu SharePoint-Community.