SharePoint STS sertifikası CRL denetimi nedeniyle site yavaşlığı

  • Makale
  • Şunlara uygulanır:
    SharePoint Foundation 2010, SharePoint Server 2010

Belirtiler

SharePoint Foundation 2010 veya SharePoint Server 2010'da talep tabanlı kimlik doğrulaması kullanan bir web uygulamanız olduğunu varsayalım. SharePoint sunucusunun İnternet erişimi yok veya sunucu sınırlı bağlantı noktaları açık olan bir güvenlik duvarı tarafından korunuyor. Bu durumda kullanıcılar, sitede oturum açma veya arama yapma gibi belirli işlemleri gerçekleştirirken aralıklı olarak uzun gecikmeler yaşar. Kullanıcılar bu işlemleri gerçekleştirirken HTTP zaman aşımlarıyla da karşılaşabilir.

Neden

SharePoint, Güvenlik Belirteci Hizmeti (STS) tarafından verilen güvenlik belirteçlerini imzalamak için sertifikaları kullanır. Tüm sertifikalar gibi, sertifikanın iptal edilmediğinden emin olmak için STS sertifikasının geçerliliğinin düzenli aralıklarla doğrulanması gerekir. Varsayılan olarak, zincirdeki kök sertifika SharePoint sunucularının Güvenilen Kök Sertifika Yetkilileri deposuna eklenmez. Bu nedenle, sertifika iptal listesi (CRL) sertifika denetimi İnternet üzerinden gerçekleştirilir. Çevrimiçi CRL sunucusuna SharePoint sunucusundan bir nedenden dolayı ulaşılamıyorsa, işlem varsayılan olarak 15 saniye sonra zaman aşımına uğrar. CRL doğrulaması 15 saniye sonra başarısız olsa bile, SharePoint sayfası gecikmeden sonra işlenebilir.

Sertifika doğrulama hataları, SharePoint sunucusunda CAPI2 olay günlüğü etkinleştirilerek izlenebilir. CAPI2 olay günlüğü etkinleştirildiğinde ve İnternet sertifikası doğrulaması başarısız olduğunda, CAPI2 olay günlüğünde sık sık aşağıdaki hata iletilerini görürsünüz:

  • Derleme Zinciri Hatası

    Olay Kimliği: 11
    Görev Kategorisi: Derleme Zinciri
    subjectName (olay ayrıntılarından alınmıştır): SharePoint Güvenlik Belirteci Hizmeti

  • Ağ Hatasından Nesne Alma

    Olay Kimliği: 53
    Görev Kategorisi: Ağdan Nesne Alma

    URL (olay ayrıntılarından alınır): https://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

CAPI2 günlüğünü etkinleştirme hakkında bilgi için lütfen "Daha Fazla Bilgi" bölümüne bakın.

Çözüm

Bu sorunu çözmek için aşağıdaki geçici çözümlerden birini gerçekleştirin:

Geçici Çözüm 1

SharePoint Kök Yetkilisi sertifikasını Güvenilen Kök Sertifika Yetkilileri deposuna yükleyin. Kök sertifika yerel sertifika deposuna eklendikten sonra, sertifika doğrulaması artık İnternet üzerinden gerçekleştirilmez. Aşağıdaki adımlar, yerel depoda sertifikayı bularak BuildChain'in başarılı olmasını sağlar ve bu nedenle bir nesnenin ağdan alınması gereksinimini ortadan kaldırır. Kök sertifikayı yerel sertifika deposuna eklemek için, grup içindeki her SharePoint sunucusunda aşağıdaki adımların tamamlanması gerekir:

  1. SharePoint Kök Yetkilisi sertifikasını fiziksel (.cer) dosyası olarak dışarı aktarın. SharePoint 2010 Yönetim Kabuğu'na Yönetici olarak başlayın ve aşağıdaki Windows PowerShell komutlarını çalıştırın:

    $rootCert = (Get-SPCertificateAuthority).RootCertificate   
$rootCert.Export("Cert") | Set-Content C:\SharePointRootAuthority.cer -Encoding byte

    Not Bu işlem, SharePoint'in iç kök sertifikasını (.cer dosyası) C Sürücüsüne aktarır. PowerShell komutlarını yeniden çalıştırmak zorunda kalmadan bu dosyayı içeri aktarma için gruptaki tüm sunucularda kopyalayabilir ve kullanabilirsiniz.

  2. SharePoint Kök Yetkilisi sertifikasını Güvenilen Kök Sertifika Yetkilileri deposuna aktarın. SharePoint Kök Yetkilisi sertifikasını Güvenilen Kök Sertifika Yetkilileri deposuna eklemek için şu adımları izleyin:

    Not "Yöneticiler", bu adımları tamamlamak için gereken en düşük grup üyeliğidir.

    1. Başlat'a dokunun veya tıklayın, Aramayı başlat'a mmc yazın ve enter tuşuna basın.
    2. Dosya menüsünde, Ek Bileşen Ekle/Kaldır'a tıklayın.
    3. Kullanılabilir ek bileşenler'in altındaSertifikalar'a ve ardından Ekle'ye tıklayın.
    4. Bu ek bileşen için sertifikaları her zaman yönetecek'in altında Bilgisayar hesabı'yı seçin ve İleri'ye tıklayın.
    5. Yerel bilgisayar'ı seçin ve son'a tıklayın.
    6. Konsola ekleyeceğiniz başka ek bileşen yoksa Tamam'a tıklayın.
    7. Konsol ağacında Sertifikalar'a çift tıklayın.
    8. Güvenilen Kök Sertifika Yetkilileri deposuna sağ tıklayın.
    9. Sertifikayı içeri aktarmak için Tüm Görevler'e tıklayın, İçeri Aktar'a tıklayın ve ardından Sertifika İçeri Aktarma Sihirbazı'ndaki adımları izleyin.

Geçici Çözüm 2

SharePoint Sunucularında kök sertifikaların otomatik güncelleştirmesini devre dışı bırakın. Bunu yapmak için şu adımları uygulayın:

  1. Yerel grup ilkesi Düzenleyici Bilgisayar Yapılandırması düğümü altında İlkeler'e çift tıklayın.
  2. Windows Ayarları'nı çift tıklatın, Güvenlik Ayarları'nı çift tıklatın ve ardından Ortak Anahtar İlkeleri'ni çift tıklatın.
  3. Ayrıntılar bölmesinde Sertifika Yolu Doğrulama Ayarları'na çift tıklayın.
  4. Ağ Alma sekmesine tıklayın, Bu ilke ayarlarını tanımla onay kutusunu seçin ve ardından Microsoft Kök Sertifika Programı'nda sertifikaları otomatik olarak güncelleştir (önerilen) onay kutusunu temizleyin.
  5. Tamam'a tıklayın ve yerel grup ilkesi Düzenleyici kapatın.
  6. İlkenin hemen etkili olması için gpupdate/force komutunu çalıştırın.

Not Otomatik güncelleştirme devre dışı bırakılarak, yeni sürümleri izlemeniz ve ardından sertifika güvenini gerektiği gibi el ile güncelleştirmeniz gerekebilir.

Otomatik kök sertifika güncelleştirmelerini devre dışı bırakmanın etkileri

Otomatik olarak imzalanan sertifikalar kullandığımız ve bunları kendimiz yönettiğimiz için SharePoint'in belirli etkileri olmamalıdır. SharePoint sertifikalarının süre sonu vardır, ancak bunu izleyen ve ardından yöneticiyi bunları güncelleştirmesi veya yeniden alması için uyaran bir sistem durumu kuralı vardır.

Dikkate alınması gereken ana özellik, bilgisayarda kullanılan diğer sertifikalar (SSL sertifikaları, indirme paketlerine güvenmek için sertifikalar veya SAFER ilkesi vb.), Güvenilen Kök Sertifika Yetkilileri deposundakilere zincirlenmiş sertifikalardan verilmiştir.

Ek Bilgi

Olay Görüntüleyicisi kullanıcı arabiriminden CAPI2 günlüğünü etkinleştirme ve kaydetme

  1. Olay Görüntüleyicisi'ni açın. Olay Görüntüleyicisi açmak için Başlat'a tıklayın, Denetim Masası'a tıklayın, Yönetimsel Araçlar'a çift tıklayın ve sonra da Olay Görüntüleyicisi'a çift tıklayın.
  2. Kullanıcı Hesabı Denetimi iletişim kutusu görüntülenirse, görüntülenen eylemin gerçekleştirmek istediğiniz eylem olduğunu onaylayın ve ardından Devam'a tıklayın.
  3. Konsol bölmesinde Olay Görüntüleyicisi genişletin, Uygulamalar ve Hizmet Günlükleri'ni genişletin, Microsoft'u genişletin, Windows'u genişletin ve ardından CAPI2'yi genişletin.
  4. Artık aşağıdaki eylemleri gerçekleştirebilirsiniz:

    • CAPI2 günlüğünü etkinleştirmek için İşletimsel'e sağ tıklayın ve Günlüğü Etkinleştir'i seçin.

    • Günlüğü bir dosyaya kaydetmek için İşletimsel'e sağ tıklayın ve Ardından Olayları Farklı Kaydet'i seçin. Günlük dosyasını EVTX biçiminde (Olay Görüntüleyicisi aracılığıyla açılabilir) veya XML biçiminde kaydedebilirsiniz.

    • CAPI2 günlüğünü devre dışı bırakmak için İşletimsel'e sağ tıklayın ve Günlüğü Devre Dışı Bırak'ı seçin.

    • Sorunu yeniden oluşturmaya çalışmadan önce günlükte veriler varsa, günlüğü temizlemenizi öneririz. Bu, yalnızca sorun senaryosuyla ilgili verilerin kaydedilen günlükten toplanmasına olanak tanır. Günlüğü temizlemek için İşletimsel'e sağ tıklayın ve günlüğü temizle'yi seçin.

    • CAPI2 Tanılaması için günlüğün boyutu hızla büyüyebilir ve ilgili olayları yakalamak için günlük boyutunu en az 4 megabayta (MB) artırmanızı öneririz. Günlük boyutunu artırmak için İşletimsel'e sağ tıklayın ve özellikler'i seçin. Günlük özelliklerinde en büyük günlük boyutunu artırın.

      Not Olay günlüğü için varsayılan boyut 1 MB'tır.

Yine de yardım mı gerekiyor? SharePoint Topluluğu'na gidin.