Vorgehensweise: Beseitigen der Warnung "Der Herausgeber kann nicht überprüft werden" beim Offlineschalten von externen Listen

Letzte Änderung: Donnerstag, 29. April 2010

Gilt für: SharePoint Server 2010

Wenn Sie eine externe Liste in Microsoft SharePoint Workspace 2010 oder Microsoft Outlook 2010 offline schalten, erhalten Sie standardmäßig eine Warnung, die besagt, dass der Herausgeber nicht überprüft werden kann. Abbildung 1 zeigt diese Warnung.

Abbildung 1. Herausgeber kann nicht überprüft werden

Damit die externe Liste erfolgreich offline geschaltet werden kann, muss der Benutzer auf Installieren klicken. Das bedeutet, dass er dem Paket vertraut, auch wenn der Herausgeber des Pakets nicht überprüft werden kann. Damit Sie wissen, warum diese Warnung angezeigt wird, wenn eine externe Liste offline geschaltet wird, müssen Sie den Prozess der Offlineverfügbarmachung der externen Liste verstehen.

Wenn Sie eine externe Liste offline schalten, wird in SharePoint ein Office-Entwicklungstools in Visual Studio 2010-ClickOnce-Paket für eine clientseitige Lösung generiert. Jedes Office-Entwicklungstools in Visual Studio 2010-Paket sollte durch ein Authenticode-Zertifikat signiert werden, damit angegeben ist, wer das Paket veröffentlicht hat. Der Benutzer installiert das Paket mithilfe des Office-Entwicklungstools in Visual Studio 2010-Installers auf seinem Client, anschließend wird der Prozess der Überprüfung, ob das Paket von einem vertrauenswürdigen Herausgeber veröffentlicht wurde, durchlaufen. Standardmäßig bietet SharePoint kein Zertifikat, das zum Signieren des Pakets verwendet werden kann. Daher generiert SharePoint ein selbstsigniertes Zertifikat und signiert damit das Paket. Da es sich hierbei um ein neues selbstsigniertes Zertifikat handelt, hat der Client vorher weder diesem Zertifikat noch seinem Aussteller vertraut und kann daher den Herausgeber des Pakets nicht überprüfen. Deshalb wird im Office-Entwicklungstools in Visual Studio 2010-Installer die Meldung angezeigt, dass der Herausgeber nicht überprüft werden kann.

Wenn Sie verhindern möchten, dass diese Warnung angezeigt wird, müssen Sie in SharePoint ein Authenticode-Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, zum Signieren des Office-Entwicklungstools in Visual Studio 2010-ClickOnce-Pakets bereitstellen. In diesem Thema wird beschrieben, wie Sie in SharePoint ein Authenticode-Zertifikat bereitstellen. Dazu benötigen Sie Administratorrechte für jeden Front-End-Webserver der Farm. Weitere Informationen zu Office-Entwicklungstools in Visual Studio 2010-ClickOnce-Paketen finden Sie unter Veröffentlichen von Office-Lösungen und Erteilen des Vertrauens an Office-Lösungen. Weitere Informationen zum Erteilen des Vertrauens an ClickOnce-Anwendungen finden Sie unter Übersicht über die Bereitstellung von vertrauenswürdigen Anwendungen.

In den folgenden Schritten wird beschrieben, wie Sie zwei Zertifikate generieren und in Zertifikatspeicher in der Front-End-Webserverfarm importieren.

Vorsicht
Importieren Sie ein Zertifikat nur dann auf einem Produktionscomputer, wenn Sie dem Zertifikat vertrauen.

So generieren Sie zwei Zertifikate und importieren sie in Zertifikatspeichern in der Front-End-Webserverfarm

1. Rufen Sie ein Authenticode-Zertifikat ab, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, z. B. VeriSign. Informationen zum Abrufen eines Zertifikats für die Signierung finden Sie unter ClickOnce und Authenticode.

   Das Zertifikat muss einen privaten Kryptografieschlüssel enthalten, damit es zum Signieren verwendet werden kann. Für das aktuelle Beispiel wurden die beiden Zertifikate ContosoRoot.cer und ContosoBCS.pfx mithilfe des Tools zum Erstellen von Zertifikaten (Makecert.exe) generiert und gespeichert. Das in ContosoBCS.pfx enthaltene Zertifikat hat einen privaten Schlüssel und wird zum Signieren des Office-Entwicklungstools in Visual Studio 2010-ClickOnce-Pakets verwendet. Das in ContosoRoot.cer enthaltene Zertifikat dient als Zertifikat einer Zertifizierungsstelle und wird zum Signieren des in ContosoBCS.pfx enthaltenen Zertifikats verwendet. Beachten Sie, dass das Zertifikat in ContosoRoot.cer keinen privaten Schlüssel aufweist.

2. Erstellen Sie einen Zertifikatspeicher namens BusinessConnectivityServices für Local Computer auf jedem Front-End-Webserver in der Farm.

   Im BusinessConnectivityServices-Zertifikatspeicher für Lokaler Computer sucht SharePoint nach dem Zertifikat für die Signierung eines Office-Entwicklungstools in Visual Studio 2010-ClickOnce-Pakets. Sie können den Zertifikatspeicher erstellen, indem Sie unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates einen Registrierungsunterschlüssel namens BusinessConnectivityServices hinzufügen. Alternativ dazu können Sie den folgenden Text in einen Text-Editor wie etwa den Editor kopieren, als REG-Datei speichern und dann auf die Datei doppelklicken, um den Registrierungsschlüssel zu erstellen.

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\BusinessConnectivityServices]
   

3. Importieren Sie das Authenticode-Zertifikat ContosoBCS.pfx mithilfe von Microsoft Management Console (MMC) in die Zertifikatspeicher für Lokaler Computer auf allen Front-End-Webservern.

   1. Klicken Sie auf einem Front-End-Webserver auf Start und dann auf Ausführen. Geben Sie im Dialogfeld Ausführen die Zeichenfolge mmc ein, und drücken Sie die EINGABETASTE.

   2. Fügen Sie in Microsoft Management Console (MMC) ein Zertifikat-Snap-In für Lokaler Computer hinzu.

      Informationen zum Hinzufügen eines Zertifikat-Snap-Ins finden Sie unter Vorgehensweise: Anzeigen von Zertifikaten mit dem MMC-Snap-In. Stellen Sie sicher, dass das Zertifikat-Snap-In für Lokaler Computer und nicht für Aktueller Benutzer gilt. Dazu stellen Sie fest, ob der Eintrag unter Konsolenstamm in MMC Zertifikate (Lokaler Computer) lautet. Gilt das Zertifikat-Snap-In für Aktueller Benutzer, lautet der Eintrag Zertifikate – Aktueller Benutzer.

4. Suchen Sie in MMC unter Konsolenstamm\Zertifikate (Lokaler Computer) den Eintrag BusinessConnectivityServices heraus, den Sie im vorherigen Schritt durch Hinzufügen des Registrierungsunterschlüssels erstellt haben. Klicken Sie mit der rechten Maustaste auf diesen Eintrag, klicken Sie auf Alle Aufgaben und dann auf Importieren, wie in Abbildung 2 gezeigt.

   Abbildung  2. Importieren des Zertifikats

   

5. Führen Sie den Zertifikatimport-Assistenten aus, um ContosoBCS.pfx in den BusinessConnectivityServices-Zertifikatspeicher zu importieren.

   Wenn sich die Zertifizierungsstelle, die das Zertifikat zum Signieren ausstellt, noch nicht im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen für Aktueller Benutzer befindet, fahren Sie mit dem nächsten Schritt fort, um das Zertifikat für die Zertifizierungsstelle (ContosoRoot.cer) zu importieren. Andernfalls überspringen Sie den nächsten Schritt und fahren mit Schritt 7 fort.

6. Importieren Sie auf dem Clientcomputer, auf dem die externe Liste offline geschaltet wird, das Zertifikat für die Zertifizierungsstelle, z. B. ContosoRoot.cer, in den Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen für den aktuellen Benutzer.

   Hinweis

   Das Zertifikat darf nur einen öffentlichen Schlüssel enthalten. Darüber hinaus dürfen Sie das Zertifikat für die Zertifizierungsstelle nicht mit einem privaten Schlüssel auf einem Clientcomputer importieren. In einer Organisation mit einer Public Key-Infrastruktur (PKI) ist das Zertifikat der Zertifizierungsstelle möglicherweise bereits im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen der Clientcomputer bereitgestellt worden. Ist dies der Fall, können Sie diesen Schritt überspringen.

   Da mit diesem Beispiel das Zertifikat ContosoRoot.cer generiert wird, ist das Zertifikat nicht im Zertifikatspeicher auf dem Client vorhanden, und Sie müssen das Zertifikat importieren. Dies kann über MMC erfolgen, wie in Abbildung 3 gezeigt. Beachten Sie, dass MMC zu diesem Zeitpunkt ein Zertifikat-Snap-In für Aktueller Benutzer enthält.

   Abbildung 3. Importieren des Zertifikats

   

   Wenn Sie eine externe Liste offline schalten, tritt eine der folgenden Situationen ein:

   • Es wird keine Warnung angezeigt. Wenn das Authenticode-Zertifikat zum Signieren des Office-Entwicklungstools in Visual Studio 2010-ClickOnce-Pakets im Zertifikatspeicher Vertrauenswürdige Herausgeber für Aktueller Benutzer auf dem Clientcomputer importiert wurde, wird das Paket installiert, ohne dass die Warnung angezeigt wird.

   • Es wird gemeldet, dass der Herausgeber überprüft wurde. Trifft die obige Bedingung nicht zu, wird die Meldung angezeigt, dass der Herausgeber überprüft wurde, und der Name des Herausgebers wird angegeben. Im Folgenden sehen Sie ein Beispiel für diese Meldung.

     Abbildung 4. Herausgeber überprüft (Meldung)

     

   Vorsicht

   Wird die externe Liste offline geschaltet, bevor Sie das Authenticode-Zertifikat auf den Front-End-Webservern importiert haben, müssen Sie möglicherweise das alte Paket vom Server entfernen, sodass ein mit dem neuen Zertifikat signiertes Paket generiert wird. Dazu können Sie SharePoint Designer verwenden. Beispiel: Zum Entfernen des alten Pakets aus der externen Liste "Produktliste" auf der Website http://contoso können Sie http://contoso in SharePoint Designer öffnen und dann im Navigationsbereich unter Websiteobjekte auf Alle Dateien klicken, um die Registerkarte Alle Dateien zu öffnen. Klicken Sie auf der Registerkarte Alle Dateien auf Listen und dann auf Produktliste. Der Ordner ClientSolution sollte angezeigt werden. Entfernen Sie diesen Ordner, indem Sie den Ordnernamen auswählen und dann auf dem Menüband auf Löschen klicken. Wenn Sie diese Liste jetzt offline schalten, erhalten Sie die Meldung über den nicht überprüften Herausgeber nicht.

   Beim Offlineschalten einer externen Liste können in folgenden Situationen Fehler auftreten:

   • Das Zertifikat, das in den Zertifikatspeicher BusinessConnectivityServices für Lokaler Computer auf einem Front-End-Webserver importiert wurde, enthält keinen privaten Schlüssel.

   • Im Zertifikatspeicher BusinessConnectivityServices befindet sich mehr als ein Zertifikat.

   Zum Beheben dieser Probleme müssen Sie den Zertifikatspeicher bereinigen und ein Zertifikat mit einem privaten Schlüssel importieren.

Tipps zur Problembehandlung

Wenn Sie nach dem Importieren des Zertifikats die Fehlermeldung "Fehler beim Veröffentlichen der Lösung Name der externen Liste, da der Schlüsselsatz nicht vorhanden ist" erhalten, stellen Sie sicher, dass das Zertifikat, das Sie in den Zertifikatspeicher LOCAL_MACHINE\BusinessConnectivityServices importiert haben, einen privaten Schlüssel enthält.

Wenn das Zertifikat einen privaten Schlüssel enthält und Sie diese Fehlermeldung dennoch erhalten, hat das Sicherheitskonto für den Anwendungspool, das für die Hosting-Webanwendung für die SharePoint-Website verwendet wird, möglicherweise keinen Zugriff auf den privaten Schlüssel des aus ContosoBCS.pfx importierten Zertifikats. Sie können herausfinden, wer Zugriff auf den privaten Schlüssel hat, indem Sie auf den Front-End-Webservern, auf denen ContosoBCS der Zertifikatantragsteller ist, den folgenden Befehl ausführen:

winhttpcertcfg.exe -l -c LOCAL_MACHINE\BusinessConnectivityServices –s ContosoBCS

Durch diesen Befehl wird eine Liste der Konten und Gruppen angezeigt, die Zugriff auf den privaten Schlüssel haben.

Wenn weder die lokale Gruppe WSS_WPG noch das Sicherheitskonto für den Anwendungspool in der Liste angezeigt wird, hat das Sicherheitskonto für den Anwendungspool keinen Zugriff auf den privaten Schlüssel. Führen Sie zum Beheben dieses Problems den folgenden Befehl aus:

winhttpcertcfg.exe -g -c LOCAL_MACHINE\BusinessConnectivityServices –s ContosoBCS –a <application pool account>

Weitere Informationen zu winhttpcertcfg.exe finden Sie unter WinHttpCertCfg.exe, ein Tool zum Konfigurieren von Zertifikaten.