Lentidão do site devido à verificação crL do certificado STS do SharePoint

  • Artigo
  • Aplica-se a:
    SharePoint Foundation 2010, SharePoint Server 2010

Sintomas

Suponha que tem uma aplicação Web que utiliza a autenticação baseada em afirmações no SharePoint Foundation 2010 ou no SharePoint Server 2010. O servidor do SharePoint não tem acesso à Internet ou o servidor está protegido por uma firewall com portas limitadas abertas. Nesta situação, os utilizadores deparam-se intermitentemente com longos atrasos quando realizam determinadas operações, como iniciar sessão no site ou efetuar uma pesquisa. Os utilizadores também podem encontrar tempos limite de HTTP quando efetuam estas operações.

Causa

O SharePoint utiliza certificados para assinar tokens de segurança emitidos pelo Serviço de Tokens de Segurança (STS). Como todos os certificados, a validade do certificado STS tem de ser verificada periodicamente para garantir que o certificado não foi revogado. Por predefinição, o certificado de raiz na cadeia não é adicionado ao arquivo autoridades de certificação de raiz fidedigna dos servidores do SharePoint. Por este motivo, a verificação da lista de revogação de certificados (CRL) do certificado é efetuada através da Internet. Se não for possível aceder ao servidor CRL online a partir do servidor do SharePoint por algum motivo, a operação excede o limite de tempo após 15 segundos por predefinição. Mesmo que a validação da CRL falhe após 15 segundos, a página do SharePoint ainda poderá ser composta após o atraso.

As falhas de validação de certificados podem ser controladas ao ativar o registo de eventos CAPI2 no servidor do SharePoint. Quando o registo de eventos CAPI2 está ativado e a validação de certificados da Internet está a falhar, verá frequentemente as seguintes mensagens de erro no registo de eventos CAPI2:

  • Erro da Cadeia de Construção

    ID do Evento: 11
    Categoria da Tarefa: Cadeia de Compilação
    subjectName (retirado dos detalhes do evento): Serviço de Tokens de Segurança do SharePoint

  • Obter Objeto do Erro de Rede

    ID do Evento: 53
    Categoria da Tarefa: Obter Objeto da Rede

    URL (retirado dos detalhes do evento): https://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

Veja a secção "Mais Informações" para obter informações sobre como ativar o registo CAPI2.

Resolução

Para resolver este problema, execute uma das seguintes soluções:

Solução alternativa 1

Instale o certificado autoridade de raiz do SharePoint no arquivo autoridades de certificação de raiz fidedigna. Depois de o certificado de raiz ser adicionado ao arquivo de certificados local, a validação do certificado já não é efetuada através da Internet. Os passos abaixo farão com que o BuildChain seja bem-sucedido ao encontrar o certificado no arquivo local, eliminando assim a necessidade de obtenção de um objeto da rede. Os passos seguintes têm de ser concluídos em cada servidor do SharePoint no farm para adicionar o certificado de raiz ao arquivo de certificados local:

  1. Exporte o certificado da Autoridade de Raiz do SharePoint como um ficheiro físico (.cer). Inicie a Shell de Gestão do SharePoint 2010 como Administrador e, em seguida, execute os seguintes comandos de Windows PowerShell:

    $rootCert = (Get-SPCertificateAuthority).RootCertificate   
$rootCert.Export("Cert") | Set-Content C:\SharePointRootAuthority.cer -Encoding byte

    Nota Esta ação irá exportar o certificado de raiz interna (ficheiro .cer) do SharePoint para a Unidade C. Pode copiar e utilizar este ficheiro em todos os servidores do farm para importação sem ter de executar novamente os comandos do PowerShell.

  2. Importe o certificado da Autoridade de Raiz do SharePoint para o arquivo autoridades de certificação de raiz fidedigna. Para adicionar o certificado da Autoridade de Raiz do SharePoint ao arquivo de Autoridades de Certificação de Raiz Fidedigna, siga estes passos:

    Nota "Administradores" é a associação de grupo mínima necessária para concluir estes passos.

    1. Toque ou clique em Iniciar, escreva mmc em Iniciar pesquisa e, em seguida, prima Enter.
    2. No menu Ficheiro , clique em Adicionar/Remover Snap-in.
    3. Em Snap-ins disponíveis, clique em Certificados e, em seguida, clique em Adicionar.
    4. Em Este snap-in irá gerir sempre certificados para, selecione Conta de computador e, em seguida, clique em Seguinte.
    5. Selecione Computador local e, em seguida, clique em Concluir.
    6. Se não tiver mais snap-ins para adicionar à consola, clique em OK.
    7. Na árvore da consola, faça duplo clique em Certificados.
    8. Clique com o botão direito do rato no arquivo Autoridades de Certificação de Raiz Fidedigna.
    9. Clique em Todas as Tarefas, clique em Importar para importar o certificado e, em seguida, siga os passos no Assistente de Importação de Certificados.

Solução alternativa 2

Desative a atualização automática de certificados de raiz nos Servidores sharePoint. Para tal, siga estes passos:

  1. No nó Configuração do Computador, na Política de Grupo Revisor Local, faça duplo clique em Políticas.
  2. Faça duplo clique em Definições do Windows, faça duplo clique em Definições de Segurança e, em seguida, faça duplo clique em Políticas de Chave Pública.
  3. No painel Detalhes, faça duplo clique em Definições de Validação do Caminho do Certificado.
  4. Clique no separador Obtenção de Rede , selecione a caixa de verificação Definir estas definições de política e, em seguida, desmarque a caixa de verificação Atualizar certificados automaticamente no Programa de Certificados de Raiz da Microsoft (recomendado ).
  5. Clique em OK e, em seguida, feche a Política de Grupo Revisor Local.
  6. Execute gpupdate/force para que a política entre em vigor imediatamente.

Nota Com a atualização automática desativada, poderá ter de monitorizar as novas versões e, em seguida, atualizar manualmente a confiança do certificado, conforme necessário.

Implicações da desativação de atualizações automáticas de certificados de raiz

Não devem existir implicações específicas no SharePoint porque estamos a utilizar certificados autoassinados e a geri-los nós mesmos. Os certificados do SharePoint têm uma expiração, mas existe uma regra de estado de funcionamento que observa esta situação e, em seguida, avisa o administrador para os atualizar ou voltar a implementar.

O principal aspeto a considerar é para outros certificados que são utilizados no computador (como certificados SSL, certificados para confiar em pacotes de transferência ou para a política SAFER, etc.) que são emitidos a partir de certificados encadeados aos certificados no arquivo de Autoridades de Certificação de Raiz Fidedigna.

Mais Informações

Ativar e guardar o registo CAPI2 na IU do Visualizador de Eventos

  1. Abrir Visualizador de Eventos. Para abrir Visualizador de Eventos, clique em Iniciar, clique em Painel de Controlo, faça duplo clique em Ferramentas Administrativas e, em seguida, faça duplo clique Visualizador de Eventos.
  2. Se for apresentada a caixa de diálogo Controlo de Conta de Utilizador , confirme que a ação apresentada é o que pretende efetuar e, em seguida, clique em Continuar.
  3. No painel Consola, expanda Visualizador de Eventos, expanda Registos de Aplicações e Serviços, expanda Microsoft, expanda Windows e, em seguida, expanda CAPI2.
  4. Agora pode efetuar as seguintes ações:

    • Para ativar o registo CAPI2, clique com o botão direito do rato em Operacional e, em seguida, selecione Ativar Registo.

    • Para guardar o registo num ficheiro, clique com o botão direito do rato em Operacional e, em seguida, selecione Guardar Eventos como. Pode guardar o ficheiro de registo no formato EVTX (que pode ser aberto através do Visualizador de Eventos) ou no formato XML.

    • Para desativar o registo CAPI2, clique com o botão direito do rato em Operacional e, em seguida, selecione Desativar Registo.

    • Se existirem dados presentes no registo antes de tentar reproduzir o problema, recomendamos que limpe o registo. Isto permite que apenas os dados relevantes para o cenário de problema sejam recolhidos do registo guardado. Para limpar o registo, clique com o botão direito do rato em Operacional e, em seguida, selecione Limpar Registo.

    • Para diagnósticos CAPI2, o registo pode aumentar de tamanho rapidamente e recomendamos que aumente o tamanho do registo para, pelo menos, 4 megabytes (MB) para capturar eventos relevantes. Para aumentar o tamanho do registo, clique com o botão direito do rato em Operacional e, em seguida, selecione Propriedades. Nas propriedades do registo, aumente o tamanho máximo do registo.

      Nota O tamanho predefinido do registo de eventos é 1 MB.

Ainda necessita de ajuda? Vá a Comunidade SharePoint