Медленная работа сайта из-за проверки списка отзыва сертификатов службы безопасности SharePoint

  • Статья
  • Применяется к:
    SharePoint Foundation 2010, SharePoint Server 2010

Симптомы

Предположим, что у вас есть веб-приложение, использующее проверку подлинности на основе утверждений в SharePoint Foundation 2010 или SharePoint Server 2010. Сервер SharePoint не имеет доступа к Интернету или сервер защищен брандмауэром с ограниченным открытыми портами. В этой ситуации пользователи периодически испытывают длительные задержки при выполнении определенных операций, таких как вход на сайт или поиск. При выполнении этих операций пользователи также могут столкнуться с истечением времени ожидания HTTP.

Причина

SharePoint использует сертификаты для подписывания маркеров безопасности, выданных службой маркеров безопасности (STS). Как и все сертификаты, действительность сертификата STS должна периодически проверяться, чтобы убедиться, что сертификат не был отозван. По умолчанию корневой сертификат в цепочке не добавляется в хранилище доверенных корневых центров сертификации серверов SharePoint. По этой причине проверка списка отзыва сертификатов (CRL) для сертификата выполняется через Интернет. Если по какой-либо причине не удается связаться с сервера SharePoint, время ожидания операции истекает через 15 секунд по умолчанию. Даже если проверка списка отзыва сертификатов завершается неудачей через 15 секунд, страница SharePoint все равно может быть отрисовывается после задержки.

Сбои проверки сертификатов можно отслеживать, включив ведение журнала событий CAPI2 на сервере SharePoint. Если ведение журнала событий CAPI2 включено и проверка сертификата Через Интернет завершается сбоем, в журнале событий CAPI2 часто отображаются следующие сообщения об ошибках:

  • Ошибка цепочки сборки

    Идентификатор события: 11
    Категория задач: цепочка сборки
    subjectName (взято из сведений о событии): служба маркеров безопасности SharePoint

  • Получение объекта из сетевой ошибки

    Идентификатор события: 53
    Категория задачи: извлечение объекта из сети

    URL-адрес (берется из сведений о событии): https://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

Сведения о том, как включить ведение журнала CAPI2, см. в разделе "Дополнительные сведения".

Разрешение

Чтобы устранить эту проблему, выполните одно из следующих обходных решений.

Обходное решение 1

Установите сертификат корневого центра SharePoint в хранилище доверенных корневых центров сертификации. После добавления корневого сертификата в локальное хранилище сертификатов проверка сертификата больше не выполняется через Интернет. Приведенные ниже шаги приведут к успешному поиску сертификата в локальном хранилище, что устраняет необходимость в извлечении объекта из сети. Чтобы добавить корневой сертификат в локальное хранилище сертификатов, необходимо выполнить следующие действия на каждом сервере SharePoint в ферме.

  1. Экспортируйте сертификат корневого центра SharePoint в виде физического (.cer) файла. Запустите командную консоль SharePoint 2010 от имени администратора, а затем выполните следующие команды Windows PowerShell:

    $rootCert = (Get-SPCertificateAuthority).RootCertificate   
$rootCert.Export("Cert") | Set-Content C:\SharePointRootAuthority.cer -Encoding byte

    Примечание Это приведет к экспорту внутреннего корневого сертификата (.cer файла) для SharePoint на диск C. Этот файл можно скопировать и использовать на всех серверах фермы для импорта без необходимости повторного выполнения команд PowerShell.

  2. Импортируйте сертификат корневого центра SharePoint в хранилище доверенных корневых центров сертификации. Чтобы добавить сертификат корневого центра SharePoint в хранилище доверенных корневых центров сертификации, выполните следующие действия.

    Примечание "Администраторы" — это минимальное необходимое членство в группе для выполнения этих действий.

    1. Нажмите кнопку Пуск, введите mmc в поле Начать поиск, а затем нажмите клавишу ВВОД.
    2. В меню Файл щелкните Добавить или удалить оснастку.
    3. В разделе Доступные оснастки щелкните Сертификаты, а затем нажмите кнопку Добавить.
    4. В разделе Эта оснастка всегда будет управлять сертификатами для, выберите Учетная запись компьютера и нажмите кнопку Далее.
    5. Выберите Локальный компьютер и нажмите кнопку Готово.
    6. Если у вас больше нет оснастки для добавления в консоль, нажмите кнопку ОК.
    7. В дереве консоли дважды щелкните Сертификаты.
    8. Щелкните правой кнопкой мыши хранилище доверенных корневых центров сертификации.
    9. Щелкните Все задачи, нажмите кнопку Импорт , чтобы импортировать сертификат, а затем выполните действия, описанные в мастере импорта сертификатов.

Обходное решение 2

Отключите автоматическое обновление корневых сертификатов на серверах SharePoint. Для этого выполните следующие действия:

  1. В узле Конфигурация компьютера в локальном групповая политика Редактор дважды щелкните Политики.
  2. Дважды щелкните Параметры Windows, дважды щелкните Параметры безопасности, а затем дважды щелкните Политики открытых ключей.
  3. В области Сведения дважды щелкните Параметры проверки пути к сертификату.
  4. Перейдите на вкладку Получение сети, выберите поле Определить эти параметры политики проверка, а затем снимите флажок Автоматически обновлять сертификаты в программе корневых сертификатов Майкрософт (рекомендуется) проверка.
  5. Нажмите кнопку ОК и закройте локальный групповая политика Редактор.
  6. Запустите gpupdate/force, чтобы политика вступила в силу немедленно.

Примечание Если автоматическое обновление отключено, может потребоваться отслеживать наличие новых выпусков, а затем вручную обновить доверие сертификата по мере необходимости.

Последствия отключения автоматического обновления корневого сертификата

Для SharePoint не должно быть особых последствий, так как мы используем самозаверяемые сертификаты и сами ими управляем. Срок действия сертификатов SharePoint истекает, но существует правило работоспособности, которое следит за этим, а затем предупреждает администратора о необходимости их обновления или повторного свертывания.

Main аспекте, который следует учитывать, относится к другим сертификатам, которые используются на компьютере (например, SSL-сертификаты, сертификаты для доверенных пакетов загрузки или политики SAFER и т. д.), которые выдаются из сертификатов, связанных с сертификатами в хранилище доверенных корневых центров сертификации.

Дополнительные сведения

Включение и сохранение журнала CAPI2 из пользовательского интерфейса Просмотр событий

  1. Откройте окно просмотра событий. Чтобы открыть окно просмотра событий, нажмите кнопку Пуск, выберите пункт Панель управления, дважды щелкните значок Администрирование, а затем дважды щелкните значок Просмотр событий.
  2. Если появится диалоговое окно Контроль учетных записей пользователей, убедитесь, что отображаемое действие является тем, что вы хотите выполнить, и нажмите кнопку Продолжить.
  3. В области Консоль разверните Просмотр событий, приложения и журналы служб, Разверните узел Майкрософт, Windows, а затем CAPI2.
  4. Теперь можно выполнить следующие действия:

    • Чтобы включить ведение журнала CAPI2, щелкните правой кнопкой мыши Пункт Операционирование и выберите Включить журнал.

    • Чтобы сохранить журнал в файл, щелкните правой кнопкой мыши Пункт Оперативный и выберите Сохранить события как. Файл журнала можно сохранить в формате EVTX (который можно открыть через Просмотр событий) или в формате XML.

    • Чтобы отключить ведение журнала CAPI2, щелкните правой кнопкой мыши Пункт Операционирование и выберите Отключить журнал.

    • Если в журнале есть данные, прежде чем пытаться воспроизвести проблему, рекомендуется очистить журнал. Это позволяет собирать из сохраненного журнала только данные, относящиеся к проблемному сценарию. Чтобы очистить журнал, щелкните правой кнопкой мыши пункт Оперативный и выберите команду Очистить журнал.

    • Для диагностики CAPI2 размер журнала может быстро увеличиваться, и мы рекомендуем увеличить размер журнала по крайней мере до 4 мегабайт (МБ) для записи соответствующих событий. Чтобы увеличить размер журнала, щелкните правой кнопкой мыши Пункт Операционный и выберите Пункт Свойства. В свойствах журнала увеличьте максимальный размер журнала.

      Примечание Размер журнала событий по умолчанию — 1 МБ.

Требуется дополнительная помощь? Посетите сайт сообщества SharePoint.