Artículo original publicado el miércoles 20 de junio de 2012

Hace mucho que debería haberse creado este blog, pues los clientes vienen comentándolo al soporte técnico desde hace ya algún tiempo.  Si trató de configurar PerformancePoint Services para que funcionen con un sitio habilitado para HTTPS, probablemente se encontró con múltiples mensajes de error al tratar de crear una conexión de origen de datos a una lista de SharePoint o a un origen de datos de Excel Services.

A continuación se muestran dos de los mensajes de error con los que quizá se haya encontrado. El primero es específico de PerformancePoint y el otro está relacionado con SharePoint Foundation.

Mensaje de error del Panel de PerformancePoint:
“PerformancePoint Services no pudieron conectar con el origen de datos especificado. Compruebe que el usuario actual, o bien la cuenta de servicio desatendida (dependiendo de la configuración del servicio), tiene permisos de lectura para el origen de datos. Compruebe también que haya presentado toda la información necesaria sobre la conexión y que esta sea correcta".

Mensajes de error de ULS:

“SharePoint Foundation | Topología | 8311 | Crítico | Se produjo un error en una aplicación porque el siguiente certificado tiene errores de validación:<<ruta de acceso de certificados & huella digital del certificado>>\n\nErrores:\n\n La raíz de la cadena de certificados no es una entidad de certificación raíz de confianza”.

“PerformancePoint Service | PerformancePoint Services | ef8z | Crítico | PerformancePoint Services no pudieron conectar con el origen de datos especificado. Compruebe que el usuario actual, o bien la cuenta de servicio desatendida (dependiendo de la configuración del servicio), tiene permisos de lectura en referencia al origen de datos. Compruebe también que haya presentado toda la información necesaria sobre la conexión y que esta sea correcta.  System.Net.WebException: se cerró la conexión subyacente y no se pudo establecer una relación de confianza para SSL/TLS…”

El que aparece más veces es el mensaje de error de SharePoint Foundation, pues indica que el problema real es un error de certificado.  Los mensajes de PerformancePoint pueden ser un poco confusos porque pueden llevarle a solucionar problemas relacionados con la autenticación y la autorización.  Mientras que en el fondo es este el problema, hay muchas maneras de asegurarse de que la cuenta de servicio desatendida o la cuenta de servicio misma tienen los permisos adecuados.  Dicho esto, si se trata de un problema de certificado, busque siempre el mensaje de ULS crítico de SharePoint Foundation, pues es el axioma de los problemas de certificado de PerformancePoint. Si se encontró con estos mensajes, trate de hacer lo siguiente. A muchos clientes les ayudó la solución siguiente.

Solución
Suposición.  Supongamos que los certificados ya se obtuvieron y los enlaces ya se configuraron en IIS para los sitios de SharePoint con los que está trabajando.  Si se configuró correctamente, podrá explorar los sitios HTTPS sin recibir ningún error de certificado. (Aquí tiene una entrada de blog que ofrece una buena introducción al proceso, así como vínculos a documentos relacionados).

Paso 1.  Extracción de certificados al servidor de SharePoint Server
Necesitará instalar todos los certificados de la ruta de acceso de certificados (raíz, intermedio y hoja) en las entidades de certificación raíz de confianza del equipo local.  Para ello, extraiga los certificados de la ruta de acceso de certificados del certificado "agrupado".

  1. Vaya al servidor de aplicaciones o al front-end web.
  2. Inicie Internet Explorer y vaya al sitio que va a usar (https://site).
  3. Consulte el certificado asociado al sitio en el informe de seguridad URL.
    1. Seleccione el icono con forma de candado a la derecha de la URL 
    2. Haga clic en Ver certificados.
  4. Seleccione la pestaña Ruta de acceso de certificados.

  1. Seleccione el nodo raíz de la ruta de acceso de certificados y haga clic en “Ver certificado.”

  1. Cuando se abra la ventana Certificado, vaya a la pestaña Detalles
  2. Haga clic en el botón "Copiar a archivo…”
  3. Se abrirá el asistente para la exportación de certificados.
  4. Elija el formato de certificado predeterminado “DER encoded binary X.509 (.CER)” y haga clic en Siguiente.

  1. Especifique una ubicación donde guardar el archivo y ponga este nombre al archivo: “CertificadoRaíz” . Haga clic en Siguiente.
    1. Para especificar una ubicación primero haga clic en el botón Explorar.
    2. Elija Escritorio.
    3. Póngale un nombre (por ejemplo, “Raíz”).

  1. Seleccione Finalizar.
  2. Repita los pasos 4-10 para cada certificado de la ruta de acceso certificados.

Paso 2.  Agregue todos los certificados a la entidad de certificación raíz de confianza del equipo local
Importe cada uno de los certificados que exportó a la entidad de certificación raíz de confianza del equipo local en cada uno de los servidores de la granja.

  1. En cada uno de los servidores de la granja, asegúrese de que los certificados exportados se agregaron a las entidades de certificación raíz de confianza del equipo local. En ese sentido, es más fácil copiar los certificados a cada servidor de la granja una vez que haya exportado los certificados en el primer servidor.
  2. Inicie el administrador de certificados local.

a. Inicio | Ejecutar... | MMC

b. Vaya al menú Fichero | Agregar o quitar elemento...

c. En la ventana Agregar o quitar complementos, seleccione Certificados y haga clic en el botón Agregar.

d. En la ventana Complemento Certificados seleccione Cuenta de equipo | Siguiente.

e. Elija Equipo local | Finalizar.

f. En la ventana Agregar o quitar complementos, seleccione Aceptar.g. Expanda el nodo de Certificados (Equipo local) de la ventana Consola.

g. Expanda el nodo de Certificados (Equipo local) de la ventana Consola.

 
h. Haga clic con el botón secundario en Entidades de certificación raíz de confianza | Todas las tareas | Importar.

i. Vaya al certificado raíz que exportó previamente y haga clic en Siguiente.
j. Seleccione los valores predeterminados hasta el final y haga clic en Finalizar.  Debería recibir un mensaje informando de que la importación se realizó con exito.

Repita los pasos h- i para cada certificado de la ruta de acceso de certificados

Paso 3.  Agregue todos los certificados a la Confianza administrada de SharePoint

  1. Cuando haya instalado el certificado en el equipo local, es necesario agregarlo a la Confianza administrada de SharePoint.  Este paso solo es necesario hacerlo desde uno de los servidores, pues la confianza se reconoce para toda la granja.  Agregue cada uno de los certificados a la Confianza administrada de SharePoint.

a. Abra la Administración central de SharePoint y vaya a Seguridad | Confianza administrada.
 

b. En la cinta de opciones Relaciones de confianza, seleccione Nuevo para abrir la ventana "Establecer una relación de confianza".
c. Para una configuración general, especifique un nombre (por ejemplo, ACRaíz, NivelIntermedio1 NivelIntermedio2).
d. Para el certificado raíz de la relación de confianza, haga clic en Explorar y seleccione el certificado que creó anteriormente.

e. Haga clic en Aceptar.

Repita los pasos a-e para cada certificado de la ruta de acceso certificados. 

  1. En el front-end web de SharePoint, emita un IISReset
    1. Inicio | Ejecutar... | cmd
    2. IISReset <ENTRAR>
  2. Ponga a prueba la creación de orígenes de datos del Diseñador de paneles creando un origen de datos de la Lista de SharePoint y un origen de datos de Excel Services.

Apéndice A - Comprobación de certificados importados

A veces es necesario comprobar si los certificados se importaron correctamente, o a la inversa, si se eliminaron completamente del sistema.  En muchos casos, recibimos certificados persistentes que no se eliminarían del todo del sistema hasta que no se eliminaran del almacén de certificados del registro.

  1. Inicie Regedit
    1. Menú Inicio
    2. Ejecutar...
    3. Regedit
  2. Compruebe HKEY_LOCAL_MACHINE y HKEY_LOCAL_USER seguidos de SOFTWARE\Microsoft\SystemCertificates\My\Certificates
  3. Compare el valor Thumbprint del certificado con los nodos del contenedor Certificados.
     

Apéndice B - Comandos PowerShell que pueden serle de utilidad

Comprobación de certificados con PowerShell

El siguiente script exportará una lista con los certificados instalados en la Confianza administrada de SharePoint que puede comparar con los certificados que agregó a los Certificados locales.

Comprobación de certificados agregados a la entidad de certificación local

Y eso es todo. No es especialmente complicado, pero sí hay algunos pasos que deben seguirse para que todo fluya correctamente.

John Fulton
Ingeniero de escalación del soporte técnico de Microsoft
Inteligencia empresarial de Office

Esta entrada de blog es una traducción. Puede consultar el artículo original en Leveraging PerformancePoint in HTTPS Enabled Sites