Lentitud del sitio debido a la comprobación de CRL del certificado STS de SharePoint

  • Artículo
  • Se aplica a:
    SharePoint Foundation 2010, SharePoint Server 2010

Síntomas

Supongamos que tiene una aplicación web que usa la autenticación basada en notificaciones en SharePoint Foundation 2010 o SharePoint Server 2010. El servidor de SharePoint no tiene acceso a Internet o el servidor está protegido por un firewall que tiene puertos limitados abiertos. En esta situación, los usuarios experimentan retrasos prolongados de forma intermitente cuando realizan determinadas operaciones, como iniciar sesión en el sitio o realizar una búsqueda. Los usuarios también pueden encontrar tiempos de espera HTTP cuando realizan estas operaciones.

Causa

SharePoint usa certificados para firmar tokens de seguridad emitidos por el servicio de token de seguridad (STS). Al igual que todos los certificados, la validez del certificado STS debe comprobarse periódicamente para asegurarse de que el certificado no se ha revocado. De forma predeterminada, el certificado raíz de la cadena no se agrega al almacén entidades de certificación raíz de confianza de los servidores de SharePoint. Por este motivo, la comprobación de la lista de revocación de certificados (CRL) para el certificado se realiza a través de Internet. Si no se puede acceder al servidor CRL en línea desde el servidor de SharePoint por algún motivo, la operación agota el tiempo de espera después de 15 segundos de forma predeterminada. Incluso si se produce un error en la validación de CRL después de 15 segundos, es posible que la página de SharePoint se siga representando después del retraso.

Se puede realizar un seguimiento de los errores de validación de certificados habilitando el registro de eventos CAPI2 en el servidor de SharePoint. Cuando se habilita el registro de eventos CAPI2 y se produce un error en la validación de certificados de Internet, con frecuencia verá los siguientes mensajes de error en el registro de eventos CAPI2:

  • Error de cadena de compilación

    Identificador de evento: 11
    Categoría de tarea: Cadena de compilación
    subjectName (tomado de los detalles del evento): Servicio de token de seguridad de SharePoint

  • Recuperar objeto de error de red

    Identificador de evento: 53
    Categoría de tarea: Recuperar objeto de la red

    Dirección URL (tomada de los detalles del evento): https://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

Consulte la sección "Más información" para obtener información sobre cómo habilitar el registro de CAPI2.

Solución

Para resolver este problema, realice una de las siguientes soluciones alternativas:

Solución alternativa 1

Instale el certificado de entidad de certificación raíz de SharePoint en el almacén entidades de certificación raíz de confianza. Después de agregar el certificado raíz al almacén de certificados local, la validación del certificado ya no se realiza a través de Internet. Los pasos siguientes harán que BuildChain busque correctamente el certificado en el almacén local, lo que elimina la necesidad de recuperar un objeto de la red. Los pasos siguientes deben completarse en cada servidor de SharePoint de la granja de servidores para agregar el certificado raíz al almacén de certificados local:

  1. Exporte el certificado de la entidad de certificación raíz de SharePoint como un archivo físico (.cer). Inicie el Shell de administración de SharePoint 2010 como administrador y, a continuación, ejecute los siguientes comandos de Windows PowerShell:

    $rootCert = (Get-SPCertificateAuthority).RootCertificate   
$rootCert.Export("Cert") | Set-Content C:\SharePointRootAuthority.cer -Encoding byte

    Nota Esto exportará el certificado raíz interno (archivo .cer) de SharePoint a la unidad C. Puede copiar y usar este archivo en todos los servidores de la granja de servidores para la importación sin tener que volver a ejecutar los comandos de PowerShell.

  2. Importe el certificado de entidad de certificación raíz de SharePoint al almacén de entidades de certificación raíz de confianza. Para agregar el certificado de entidad de certificación raíz de SharePoint al almacén de entidades de certificación raíz de confianza, siga estos pasos:

    Nota "Administradores" es la pertenencia a grupos mínima necesaria para completar estos pasos.

    1. Pulse o haga clic en Inicio, escriba mmc en Iniciar búsqueda y, a continuación, presione Entrar.
    2. En el menú Archivo, haga clic en Añadir o quitar complemento.
    3. En Complementos disponibles, haga clic en Certificadosy, a continuación, haga clic en Agregar.
    4. En Este complemento siempre administrará certificados para, seleccione Cuenta de equipo y, a continuación, haga clic en Siguiente.
    5. Seleccione Equipo local y, a continuación, haga clic en Finalizar.
    6. Si no tiene más complementos para agregar a la consola, haga clic en Aceptar.
    7. En el árbol de consola, haga doble clic en Certificados.
    8. Haga clic con el botón derecho en el almacén entidades de certificación raíz de confianza.
    9. Haga clic en Todas las tareas, haga clic en Importar para importar el certificado y, a continuación, siga los pasos del Asistente para importación de certificados.

Solución alternativa 2

Deshabilite la actualización automática de certificados raíz en los servidores de SharePoint. Para ello, siga estos pasos:

  1. En el nodo Configuración del equipo de la directiva de grupo Editor Local, haga doble clic en Directivas.
  2. Haga doble clic en Configuración de Windows, haga doble clic en Configuración de seguridady, a continuación, haga doble clic en Directivas de clave pública.
  3. En el panel Detalles, haga doble clic en Configuración de validación de ruta de acceso de certificado.
  4. Haga clic en la pestaña Recuperación de red , active la casilla Definir esta configuración de directiva y, a continuación, desactive la casilla Actualizar automáticamente certificados en el Programa de certificados raíz de Microsoft (recomendado ).
  5. Haga clic en Aceptary, a continuación, cierre la directiva de grupo Editor Local.
  6. Ejecute gpupdate/force para que la directiva surta efecto inmediatamente.

Nota Con la actualización automática deshabilitada, es posible que tenga que supervisar las nuevas versiones y, a continuación, actualizar manualmente la confianza del certificado según sea necesario.

Implicaciones de deshabilitar las actualizaciones automáticas de certificados raíz

No debe haber implicaciones específicas para SharePoint porque estamos usando certificados autofirmados y los administramos nosotros mismos. Los certificados de SharePoint tienen una expiración, pero hay una regla de mantenimiento que supervisa esto y, a continuación, advierte al administrador de que los actualice o vuelva a implementar.

El aspecto principal que se debe tener en cuenta es para otros certificados que se usan en el equipo (como certificados SSL, certificados para confiar en los paquetes de descarga o para la directiva SAFER, etc.) que se emiten desde certificados encadenados a los del almacén de entidades de certificación raíz de confianza.

Más información

Habilitar y guardar el registro de CAPI2 desde la interfaz de usuario de Visor de eventos

  1. Abra el Visor de eventos. Para abrir el Visor de sucesos, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Visor de sucesos.
  2. Si aparece el cuadro de diálogo Control de cuentas de usuario , confirme que la acción mostrada es la que desea realizar y, a continuación, haga clic en Continuar.
  3. En el panel Consola, expanda Visor de eventos, expanda Registros de aplicaciones y servicios, Microsoft, Windows y CAPI2.
  4. Ahora puede realizar las siguientes acciones:

    • Para habilitar el registro de CAPI2, haga clic con el botón derecho en Operativo y, a continuación, seleccione Habilitar registro.

    • Para guardar el registro en un archivo, haga clic con el botón derecho en Operativo y, a continuación, seleccione Guardar eventos como. Puede guardar el archivo de registro en el formato EVTX (que se puede abrir a través de la Visor de eventos) o en formato XML.

    • Para deshabilitar el registro de CAPI2, haga clic con el botón derecho en Operativo y, a continuación, seleccione Deshabilitar registro.

    • Si hay datos presentes en el registro antes de intentar reproducir el problema, se recomienda borrar el registro. Esto permite recopilar solo los datos pertinentes para el escenario de problema del registro guardado. Para borrar el registro, haga clic con el botón derecho en Operativo y, a continuación, seleccione Borrar registro.

    • En el caso de los diagnósticos de CAPI2, el registro puede crecer rápidamente y se recomienda aumentar el tamaño del registro a al menos 4 megabytes (MB) para capturar eventos pertinentes. Para aumentar el tamaño del registro, haga clic con el botón derecho en Operativo y, a continuación, seleccione Propiedades. En las propiedades del registro, aumente el tamaño máximo del registro.

      Nota El tamaño predeterminado del registro de eventos es de 1 MB.

¿Aún necesita ayuda? Visite Comunidad de SharePoint.