Austauschen von vertrauenswürdigen Zertifikaten zwischen Farmen in SharePoint Server
**Gilt für:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016
**Letztes Änderungsdatum des Themas:**2018-03-02
Zusammenfassung: Erfahren Sie, wie Sie in SharePoint Server 2016 und SharePoint 2013 vertrauenswürdige Zertifikate zwischen der Veröffentlichungsfarm und der Farm austauschen, die den Dienst in Anspruch nimmt.
In SharePoint Server kann eine Farm eine Verbindung mit einer Dienstanwendung herstellen und diese verwenden, obwohl diese in einer anderen SharePoint Server-Farm veröffentlicht wird. Dazu müssen die Farmen vertrauenswürdige Zertifikate austauschen.
Bei diesem Austausch müssen beide Farmen beteiligt sein, damit die Dienstanwendung gemeinsam genutzt werden kann.
Weitere Informationen zur farmübergreifenden Freigabe von Dienstanwendungen finden Sie unter Freigeben von Dienstanwendungen für mehrere Farmen in SharePoint Server.
Sie müssen Microsoft PowerShell-Befehle zum Exportieren und Kopieren der Zertifikate zwischen Farmen verwenden. Nachdem die Zertifikate exportiert und kopiert wurden, können Sie entweder PowerShell-Befehle oder die Zentraladministration zum Verwalten der Vertrauensstellungen innerhalb der Farm verwenden.
In diesen Anleitungen wird von den folgenden Kriterien ausgegangen:
Auf den Servern, die für diese Verfahren verwendet werden, wird PowerShell ausgeführt.
Der Administrator wählt bei allen Vorgangsschritten denselben Server in den Farmen aus bzw. verwendet denselben Server.
Wenn die Benutzerkontensteuerung (User Account Control, UAC) aktiviert ist, müssen Sie die PowerShell-Befehle mit erhöhten Rechten ausführen.
Inhalt dieses Artikels:
Exportieren und Kopieren von Zertifikaten
Verwalten von vertrauenswürdigen Zertifikaten mithilfe von Windows Powershell
Verwalten von vertrauenswürdigen Zertifikaten mithilfe der Zentraladministration
Lesen Sie die Informationen zu Voraussetzungen unter Freigeben von Dienstanwendungen für mehrere Farmen in SharePoint Server, bevor Sie dieses Verfahren anwenden.
Exportieren und Kopieren von Zertifikaten
Ein Administrator der Farm, die den Dienst in Anspruch nimmt, muss der Veröffentlichungsfarm zwei vertrauenswürdige Zertifikate bereitstellen: ein Stammzertifikat und ein Zertifikat des Sicherheitstokendiensts (Security Token Service, STS). Ein Administrator der Veröffentlichungsfarm muss der Farm, die den Dienst in Anspruch nimmt, ein Stammzertifikat bereitstellen.
Zertifikate können nur mit Windows PowerShell 3.0 oder höher exportiert und kopiert werden.
So exportieren Sie das Stammzertifikat aus der Farm, die den Dienst in Anspruch nimmt
Vergewissern Sie sich auf einem Server, auf dem SharePoint Server in der Farm, die den Dienst in Anspruch nimmt, ausgeführt wird, dass Sie über die folgenden Mitgliedschaften verfügen:
Feste Serverrolle securityadmin in der SQL Server-Instanz.
Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.
Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.
Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.
Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.
Hinweis
Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.
Starten Sie SharePoint 15-Verwaltungsshell.
Geben Sie an der PowerShell-Eingabeaufforderung den folgenden Befehl ein:
$rootCert = (Get-SPCertificateAuthority).RootCertificate $rootCert.Export("Cert") | Set-Content <C:\ConsumingFarmRoot.cer> -Encoding byte
Dabei ist <C:\ConsumingFarmRoot.cer> der Pfad des Stammzertifikats.
So exportieren Sie das STS-Zertifikat aus der Farm, die den Dienst in Anspruch nimmt
Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:
Feste Serverrolle securityadmin auf der SQL Server-Instanz.
Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.
Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.
Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.
Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.
Hinweis
Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.
Starten Sie SharePoint 15-Verwaltungsshell.
Geben Sie an der PowerShell-Eingabeaufforderung den folgenden Befehl ein:
$stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate $stsCert.Export("Cert") | Set-Content <C:\ConsumingFarmSTS.cer> -Encoding byte
Dabei ist <C:\ConsumingFarmSTS.cer> der Pfad des STS-Zertifikats.
So exportieren Sie das Stammzertifikat aus der Veröffentlichungsfarm
Vergewissern Sie sich auf einem Server, auf dem SharePoint Server in der Veröffentlichungsfarm ausgeführt wird, dass Sie über die folgenden Mitgliedschaften verfügen:
Feste Serverrolle securityadmin in der SQL Server-Instanz.
Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.
Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.
Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.
Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.
Hinweis
Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.
Starten Sie SharePoint 15-Verwaltungsshell.
Geben Sie an der PowerShell-Eingabeaufforderung den folgenden Befehl ein:
$rootCert = (Get-SPCertificateAuthority).RootCertificate $rootCert.Export("Cert") | Set-Content <C:\PublishingFarmRoot.cer> -Encoding byte
Dabei ist <C:\PublishingFarmRoot.cer> der Pfad des Stammzertifikats.
So kopieren Sie die Zertifikate
Kopieren Sie das Stammzertifikat und das STS-Zertifikat vom Server in der Farm, die den Dienst in Anspruch nimmt, auf den Server in der Veröffentlichungsfarm.
Kopieren Sie das Stammzertifikat vom Server in der Veröffentlichungsfarm auf einen Server in der Farm, die den Dienst in Anspruch nimmt.
Verwalten von vertrauenswürdigen Zertifikaten mithilfe von PowerShell
Die Verwaltung von vertrauenswürdigen Zertifikaten innerhalb einer Farm umfasst das Einrichten von Vertrauensstellungen. In diesem Abschnitt wird das Einrichten von Vertrauensstellungen sowohl in der Farm, die den Dienst in Anspruch nimmt, als auch in der veröffentlichenden Farm mithilfe von PowerShell-Befehlen erläutert.
Herstellen einer Vertrauensstellung in der Farm, die den Dienst in Anspruch nimmt
Zum Herstellen einer Vertrauensstellung in der Farm, die den Dienst in Anspruch nimmt, müssen Sie das Stammzertifikat, das aus der Veröffentlichungsfarm kopiert wurde, importieren und eine vertrauenswürdige Stammzertifizierungsstelle erstellen.
So importieren Sie das Stammzertifikat und erstellen eine vertrauenswürdige Stammzertifizierungsstelle in der Farm, die den Dienst in Anspruch nimmt
Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:
Feste Serverrolle securityadmin auf der SQL Server-Instanz.
Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.
Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.
Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.
Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.
Hinweis
Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.
Starten Sie SharePoint 15-Verwaltungsshell.
Geben Sie an der PowerShell-Eingabeaufforderung den folgenden Befehl ein:
$trustCert = Get-PfxCertificate <C:\PublishingFarmRoot.cer> New-SPTrustedRootAuthority <PublishingFarm> -Certificate $trustCert
Dabei gilt:
<C:\PublishingFarmRoot.cer> ist der Pfad des Stammzertifikats, das Sie aus der Veröffentlichungsfarm in die Farm, die den Dienst in Anspruch nimmt, kopiert haben.
<PublishingFarm> ist ein eindeutiger Name, der die Veröffentlichungsfarm bezeichnet. Jede vertrauenswürdige Stammzertifizierungsstelle benötigt einen eindeutigen Namen.
Herstellen einer Vertrauensstellung in der Veröffentlichungsfarm
Zum Herstellen einer Vertrauensstellung in der Veröffentlichungsfarm müssen Sie das Stammzertifikat, das aus der Farm, die den Dienst in Anspruch nimmt, kopiert wurde, importieren und eine vertrauenswürdige Stammzertifizierungsstelle erstellen. Sie müssen dann das STS-Zertifikat importieren, das aus der Farm, die den Dienst in Anspruch nimmt, kopiert wurde und einen vertrauenswürdigen Tokenherausgeber erstellen.
So importieren Sie das Stammzertifikat und erstellen eine vertrauenswürdige Stammzertifizierungsstelle in der Veröffentlichungsfarm
Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:
Feste Serverrolle securityadmin auf der SQL Server-Instanz.
Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.
Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.
Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.
Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.
Hinweis
Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.
Starten Sie SharePoint 15-Verwaltungsshell.
Geben Sie an der PowerShell-Eingabeaufforderung den folgenden Befehl ein:
$trustCert = Get-PfxCertificate <C:\ConsumingFarmRoot.cer> New-SPTrustedRootAuthority <ConsumingFarm> -Certificate $trustCert
Dabei gilt:
<C:\ConsumingFarmRoot.cer> ist der Name und das Verzeichnis des Stammzertifikats, das Sie aus der Farm, die den Dienst in Anspruch nimmt, in die Veröffentlichungsfarm kopiert haben.
<ConsumingFarm> ist ein eindeutiger Name, der die Farm, die den Dienst in Anspruch nimmt, bezeichnet. Jede vertrauenswürdige Stammzertifizierungsstelle benötigt einen eindeutigen Namen.
So importieren Sie das STS-Zertifikat und erstellen einen vertrauenswürdigen Tokenherausgeber in der Veröffentlichungsfarm
Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:
Feste Serverrolle securityadmin auf der SQL Server-Instanz.
Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.
Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.
Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.
Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.
Hinweis
Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.
Starten Sie SharePoint 15-Verwaltungsshell.
Geben Sie an der PowerShell-Eingabeaufforderung den folgenden Befehl ein:
$stsCert = Get-PfxCertificate <c:\ConsumingFarmSTS.cer> New-SPTrustedServiceTokenIssuer <ConsumingFarm> -Certificate $stsCert
Dabei gilt:
<C:\ConsumingFarmSTS.cer> ist der Pfad des STS-Zertifikats, das Sie aus der Farm, die den Dienst in Anspruch nimmt, in die Veröffentlichungsfarm kopiert haben.
<ConsumingFarm> ist ein eindeutiger Name, der die Farm, die den Dienst in Anspruch nimmt, bezeichnet. Jeder vertrauenswürdige Diensttokenherausgeber benötigt einen eindeutigen Namen.
Dabei gilt:
Weitere Informationen zu diesen PowerShell-Cmdlets finden Sie in den folgenden Artikeln:
Informationen zur Verwendung eines Skripts zum Automatisieren eines Teils dieses Prozesses finden Sie unter Austauschen vertrauenswürdiger Zertifikate zwischen Farmen.
Verwalten von vertrauenswürdigen Zertifikaten mithilfe der Zentraladministration
Die Vertrauensstellungen in einer Farm können nur verwaltet werden, nachdem die relevanten Zertifikate in die Farm exportiert und kopiert wurden.
So errichten Sie eine Vertrauensstellung mithilfe der Zentraladministration
Vergewissern Sie sich, dass das Benutzerkonto, mit dem dieses Verfahren ausgeführt wird, Mitglied der SharePoint-Gruppe Farmadministratoren ist.
Klicken Sie unter die Website für die SharePoint-Zentraladministration auf Sicherheit.
Klicken Sie auf der Seite Sicherheit im Abschnitt Allgemeine Sicherheit auf Vertrauensstellung verwalten.
Klicken Sie auf der Seite der Vertrauensstellung auf dem Menüband auf Neu.
Führen Sie auf der Seite zum Einrichten einer Vertrauensstellung die folgenden Aktionen aus:
Geben Sie einen Namen an, der den Zweck der Vertrauensstellung beschreibt.
Wechseln Sie zum Zertifikat der Stammzertifizierungsstelle für die Vertrauensstellung, und wählen Sie dieses aus. Hierbei muss es sich um das Zertifikat der Stammzertifizierungsstelle handeln, das aus der anderen Farm mithilfe von Microsoft PowerShell exportiert wurde, wie unter Exportieren und Kopieren von Zertifikaten beschrieben.
Falls Sie diese Aufgabe in der Veröffentlichungsfarm ausführen, aktivieren Sie das Kontrollkästchen für Vertrauensstellung bereitstellen. Geben Sie einen beschreibenden Namen für den Tokenherausgeber an, und wechseln Sie zu dem STS-Zertifikat, das von der verwendenden Farm wie in Exportieren und Kopieren von Zertifikaten beschrieben kopiert wurde, und wählen Sie es aus.
Klicken Sie auf OK.
Wenn die Vertrauensstellung eingerichtet ist, können Sie die Beschreibung des Tokenherausgebers oder die verwendeten Zertifikate ändern, indem Sie auf die Vertrauensstellung klicken und dann auf Bearbeiten klicken. Sie können eine Vertrauensstellung löschen, indem Sie darauf klicken und dann auf Löschen klicken.
See also
Planen der Benutzerauthentifizierungsmethoden in SharePoint Server
Create a web application in SharePoint Server
Konfigurieren von SAML-basierter Anspruchsauthentifizierung mit ADFS in SharePoint 2013