Treghet på grunn av CRL-kontroll for SharePoint-sertifikat

Symptomer

Anta at du har et nettprogram som bruker kravbasert godkjenning i SharePoint Foundation 2010 eller SharePoint Server 2010. SharePoint-serveren har ikke tilgang til Internett, eller serveren er beskyttet av en brannmur som har begrensede porter åpne. I denne situasjonen opplever brukere periodevis lange forsinkelser når de utfører visse operasjoner, for eksempel pålogging på nettstedet eller utfører et søk. Brukere kan også støte på HTTP-tidsavbrudd når de utfører disse operasjonene.

Årsak

SharePoint bruker sertifikater til å signere sikkerhetstokener som er utstedt av sikkerhetstokentjenesten (STS). Som alle sertifikater må gyldigheten til STS-sertifikatet kontrolleres med jevne mellomrom for å sikre at sertifikatet ikke er tilbakekalt. Som standard legges ikke rotsertifikatet i kjeden til lageret klarerte rotsertifiseringsinstanser for SharePoint-serverne. På grunn av dette utføres crl-kontrollen (certificate revocation list) for sertifikatet via Internett. Hvis den nettbaserte CRL-serveren av en eller annen grunn ikke kan nås fra SharePoint-serveren, blir operasjonen tidsavbrutt etter 15 sekunder som standard. Selv om CRL-valideringen mislykkes etter 15 sekunder, kan SharePoint-siden fremdeles gjengis etter forsinkelsen.

Sertifikatvalideringsfeil kan spores ved å aktivere CAPI2-hendelsesloggingen på SharePoint-serveren. Når CAPI2-hendelseslogging er aktivert og Validering av Internett-sertifikat mislykkes, vil du ofte se følgende feilmeldinger i HENDELSESLOGGEN CAPI2:

  • Byggkjedefeil

    Hendelses-ID: 11
    Aktivitetskategori: Bygg kjede
    subjectName (hentet fra hendelsesdetaljer): SharePoint-sikkerhetstokentjeneste

  • Hent objekt fra nettverksfeil

    Hendelses-ID: 53
    Aktivitetskategori: Hent objekt fra nettverk

    NETTADRESSE (hentet fra hendelsesdetaljer): https://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

Se delen Mer informasjon hvis du vil ha informasjon om hvordan du aktiverer CAPI2-logging.

Løsning

Utfør én av følgende midlertidige løsninger for å løse dette problemet:

Løsning 1

Installer rotinstanssertifikatet for SharePoint i lageret klarerte rotsertifiseringsinstanser. Når rotsertifikatet er lagt til i det lokale sertifikatlageret, utføres ikke lenger sertifikatvalideringen via Internett. Trinnene nedenfor vil føre til at BuildChain lykkes ved å finne sertifikatet i det lokale lageret, noe som eliminerer behovet for henting av et objekt fra nettverket. Følgende trinn må fullføres på hver SharePoint-server i farmen for å legge til rotsertifikatet i det lokale sertifikatlageret:

  1. Eksporter rotinstanssertifikatet for SharePoint som en fysisk (.cer) fil. Start administrasjonsskallet for SharePoint 2010 som administrator, og kjør deretter følgende Windows PowerShell kommandoer:

    $rootCert = (Get-SPCertificateAuthority).RootCertificate   
    $rootCert.Export("Cert") | Set-Content C:\SharePointRootAuthority.cer -Encoding byte
    

    Merk Dette eksporterer det interne rotsertifikatet (.cer fil) for SharePoint til stasjon C. Du kan kopiere og bruke denne filen på alle servere i farmen for importering uten å måtte kjøre PowerShell-kommandoene på nytt.

  2. Importer rotinstanssertifikatet for SharePoint til lageret klarerte rotsertifiseringsinstanser. Hvis du vil legge til rotinstanssertifikatet for SharePoint i lageret klarerte rotsertifiseringsinstanser, gjør du følgende:

    Merk Administratorer er minimum nødvendig gruppemedlemskap for å fullføre disse trinnene.

    1. Trykk eller klikk Start, skriv inn mmc i Start søk, og trykk deretter ENTER.
    2. Klikk Legg til / fjern snapin-modulen på Fil-menyen.
    3. Klikk Sertifikater under Tilgjengelige snapin-moduler, og klikk deretter Legg til.
    4. Velg Datamaskinkonto under Denne snapin-modulen vil alltid behandle sertifikater for, og klikk deretter Neste.
    5. Velg lokal datamaskin, og klikk deretter Fullfør.
    6. Hvis du ikke har flere snapin-moduler å legge til i konsollen, klikker du OK.
    7. Dobbeltklikk sertifikater i konsolltreet.
    8. Høyreklikk på lageret for klarerte rotsertifiseringsinstanser.
    9. Klikk Alle oppgaver, klikk Importer for å importere sertifikatet, og følg deretter trinnene i veiviseren for import av sertifikat.

Løsning 2

Deaktiver automatisk oppdatering av rotsertifikater på SharePoint-serverne. Dette gjør du slik:

  1. Dobbeltklikk policyer under Noden datamaskinkonfigurasjon i lokal gruppepolicy Redaktør.
  2. Dobbeltklikk Windows-innstillinger, dobbeltklikk sikkerhetsinnstillinger, og dobbeltklikk deretter policyer for fellesnøkkel.
  3. Dobbeltklikk Valideringsinnstillinger for sertifikatbane i Detalj-ruten.
  4. Klikk kategorien Nettverkshenting , merk av for Definer disse policyinnstillingene , og fjern deretter merket for Oppdater sertifikater automatisk i Microsofts rotsertifikatprogram (anbefales ).
  5. Klikk OK, og lukk deretter lokal gruppepolicy Redaktør.
  6. Kjør gpupdate/force for å få policyen til å tre i kraft umiddelbart.

Merk Når automatisk oppdatering er deaktivert, må du kanskje overvåke for nye versjoner, og deretter oppdatere sertifikatklareringen manuelt etter behov.

Implikasjoner ved deaktivering av automatiske rotsertifikatoppdateringer

Det bør ikke være spesifikke implikasjoner for SharePoint fordi vi bruker selvsignerte sertifikater og administrerer dem selv. SharePoint-sertifikatene har en utløpsdato, men det finnes en tilstandsregel som ser etter dette, og deretter advarer administratoren om å oppdatere eller rulle dem på nytt.

Hovedaspektet du bør vurdere, er for andre sertifikater som brukes på datamaskinen (for eksempel SSL-sertifikater, sertifikater for å klarere nedlastingspakker eller tryggere policy, og så videre) som er utstedt fra sertifikater lenket til de i lageret klarerte rotsertifiseringsinstanser.

Mer informasjon

Aktivere og lagre CAPI2-loggen fra Hendelsesliste brukergrensesnittet

  1. Åpne Hendelsesliste. Hvis du vil åpne Hendelsesliste, klikker du Start, Kontrollpanel, dobbeltklikk administrative verktøy og dobbeltklikker deretter Hendelsesliste.
  2. Hvis dialogboksen Brukerkontokontroll vises, bekrefter du at den viste handlingen er det du vil utføre, og deretter klikker du Fortsett.
  3. Utvid Hendelsesliste i konsollruten, utvid programmer og tjenestelogger, utvid Microsoft, utvid Windows og utvid DERETTER CAPI2.
  4. Du kan nå utføre følgende handlinger:
    • Hvis du vil aktivere CAPI2-logging, høyreklikker du operasjonelt, og deretter velger du Aktiver logg.

    • Hvis du vil lagre loggen i en fil, høyreklikker du Operasjonelt og velger Lagre hendelser som. Du kan lagre loggfilen i EVTX-format (som kan åpnes via Hendelsesliste) eller i XML-format.

    • Hvis du vil deaktivere CAPI2-logging, høyreklikker du Operasjonelt og velger Deaktiver logg.

    • Hvis det finnes data i loggen før du prøver å gjenskape problemet, anbefaler vi at du tømmer loggen. Dette gjør at bare dataene som er relevante for problemscenariet, kan samles inn fra den lagrede loggen. Hvis du vil fjerne loggen, høyreklikker du Operasjonelt og velger deretter Fjern logg.

    • For CAPI2-diagnostikk kan loggen raskt økes, og vi anbefaler at du øker loggstørrelsen til minst 4 megabyte (MB) for å registrere relevante hendelser. Hvis du vil øke loggstørrelsen, høyreklikker du Operasjonelt og velger Egenskaper. Øk den maksimale loggstørrelsen i loggegenskapene.

      Merk Standardstørrelsen for hendelsesloggen er 1 MB.

Trenger du fremdeles hjelp? Gå til SharePoint Community.