Partage via

Échanger des certificats de confiance entre des batteries de serveurs dans SharePoint Server

  • Article

S’APPLIQUE À :oui-img-132013 oui-img-162016 oui-img-192019 oui-img-seÉdition d’abonnement no-img-sopSharePoint dans Microsoft 365

Dans SharePoint Server, une batterie de serveurs peut se connecter à une application de service publiée sur une autre batterie de serveurs SharePoint Server, et l'utiliser. Pour ce faire, les batteries doivent échanger des certificats de confiance.

Les deux batteries de serveurs doivent participer à cet échange pour que le partage d’applications de service fonctionne.

Pour plus d'informations sur le partage d'applications de service entre des batteries de serveurs, voir Partager des applications de service entre plusieurs batteries dans SharePoint Server.

Vous devez utiliser des commandes Microsoft PowerShell pour exporter et copier les certificats entre les batteries. Une fois les certificats exportés et copiés, vous pouvez utiliser des commandes PowerShell ou Administration centrale pour gérer les approbations au sein de la batterie.

Les instructions fournies ici supposent les critères suivants :

  • Les serveurs qui sont utilisés pour ces procédures exécutent PowerShell.
  • L’administrateur va sélectionner et utiliser le même serveur dans chaque batterie de serveurs pour toutes les étapes du processus.
  • Si le contrôle de compte d'utilisateur est activé, vous devez exécuter les commandes PowerShell avec des privilèges élevés.

Avant de commencer cette opération, consultez l’article Partager des applications de service entre plusieurs batteries dans SharePoint Server pour en savoir plus sur les conditions préalables.

Exportation et copie de certificats

Un administrateur de la batterie de serveurs consommatrice doit fournir deux certificats d’approbation à la batterie de serveurs de publication : un certificat racine et un certificat du service de jeton de sécurité (STS). Un administrateur de la batterie de serveurs de publication doit fournir un certificat racine à la batterie de serveurs consommatrice.

Vous pouvez uniquement exporter et copier des certificats à l’aide de Windows PowerShell 3.0 ou version ultérieure.

Pour exporter le certificat racine à partir de la batterie de serveurs consommatrice

  1. Sur un serveur qui exécute SharePoint Server sur la batterie de serveurs consommatrice, vérifiez que vous êtes membre :

    • du rôle serveur fixe securityadmin sur l'instance SQL Server.
    • du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
    • du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
    • Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.

    Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d'utilisation des cmdlets SharePoint Server.

    Remarque

    [!REMARQUE] Si vous ne disposez pas des autorisations, contactez votre administrateur d'installation ou votre administrateur SQL Server afin de les demander. Pour plus d'informations sur les autorisations PowerShell, voir Add-SPShellAdmin.

  2. Dans SharePoint Management Shell, exécutez les commandes suivantes :

    $CFrootCert = (Get-SPCertificateAuthority).RootCertificate

[System.IO.File]::WriteAllBytes('C:\ConsumingFarmRoot.cer', $CFrootCert.Export("Cert"))

    C:\ConsumingFarmRoot.cer est le chemin du certificat racine.

Pour exporter le certificat STS à partir de la batterie de serveurs consommatrice

  1. Vérifiez que vous êtes membre :

    • du rôle serveur fixe securityadmin sur l'instance SQL Server.
    • du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
    • du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
    • Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.

    Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d'utilisation des cmdlets SharePoint Server.

    Remarque

    [!REMARQUE] Si vous ne disposez pas des autorisations, contactez votre administrateur d'installation ou votre administrateur SQL Server afin de les demander. Pour plus d'informations sur les autorisations PowerShell, voir Add-SPShellAdmin.

  2. Dans SharePoint Management Shell, exécutez les commandes suivantes :

    $stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate

[System.IO.File]::WriteAllBytes('C:\ConsumingFarmSTS.cer', $stsCert.Export("Cert"))

    C:\ConsumingFarmSTS.cer est le chemin du certificat STS.

Pour exporter le certificat racine de la batterie de serveurs de publication

  1. Sur un serveur qui exécute SharePoint Server sur la batterie de serveurs de publication, vérifiez que vous êtes membre :

    • du rôle serveur fixe securityadmin sur l'instance SQL Server.
    • du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
    • du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
    • Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.

    Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d'utilisation des cmdlets SharePoint Server.

    Remarque

    [!REMARQUE] Si vous ne disposez pas des autorisations, contactez votre administrateur d'installation ou votre administrateur SQL Server afin de les demander. Pour plus d'informations sur les autorisations PowerShell, voir Add-SPShellAdmin.

  2. Dans SharePoint Management Shell, exécutez les commandes suivantes :

    $PFrootCert = (Get-SPCertificateAuthority).RootCertificate

[System.IO.File]::WriteAllBytes('C:\PublishingFarmRoot.cer', $PFrootCert.Export("Cert"))

    C:\PublishingFarmRoot.cer est le chemin du certificat racine.

Pour copier les certificats

  1. Copiez le certificat racine et le certificat STS à partir du serveur dans la batterie de serveurs consommatrice vers le serveur de la batterie de serveurs de publication.
  2. Copiez le certificat racine du serveur de la batterie de publication vers un serveur de la batterie consommatrice.

Gestion de certificats d'approbation à l'aide de PowerShell

La gestion des certificats d'approbation dans une batterie nécessite l'établissement d'une approbation. Cette section décrit comment établir une approbation sur les batteries de publication et consommatrice à l'aide de commandes PowerShell.

Établir une approbation de la batterie de serveurs consommatrice

Pour établir l’approbation de la batterie de serveurs consommatrice, vous devez importer le certificat racine qui a été copié à partir de la batterie de serveurs de publication et créer une autorité racine de confiance.

Pour importer le certificat racine et créer une autorité racine de confiance sur la batterie de serveurs consommatrice

  1. Vérifiez que vous êtes membre :

    • du rôle serveur fixe securityadmin sur l'instance SQL Server.
    • du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
    • du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
    • Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.

    Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d'utilisation des cmdlets SharePoint Server.

    Remarque

    [!REMARQUE] Si vous ne disposez pas des autorisations, contactez votre administrateur d'installation ou votre administrateur SQL Server afin de les demander. Pour plus d'informations sur les autorisations PowerShell, voir Add-SPShellAdmin.

  2. Dans SharePoint Management Shell, exécutez les commandes suivantes :

    $trustCert = Get-PfxCertificate "<C:\PublishingFarmRoot.cer>"

New-SPTrustedRootAuthority "<PublishingFarm>" -Certificate $trustCert

    Où :

    • <C:\PublishingFarmRoot.cer> est le chemin d'accès au certificat racine que vous avez copié sur la batterie consommatrice à partir de la batterie de publication.
    • <PublishingFarm> est un nom unique qui identifie la batterie de publication. Chaque autorité racine de confiance doit avoir un nom unique.

Établir l’approbation sur la batterie de serveurs de publication

Pour établir l’approbation sur la batterie de serveurs de publication, vous devez importer le certificat racine qui a été copié à partir de la batterie de serveurs consommatrice et créer une autorité racine approuvée. Vous devez ensuite importer le certificat STS qui été copié à partir de la batterie consommatrice et créer un émetteur de jeton de service approuvé.

Pour importer le certificat racine et créer une autorité racine de confiance sur la batterie de serveurs de publication

  1. Vérifiez que vous êtes membre :

    • du rôle serveur fixe securityadmin sur l'instance SQL Server.
    • du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
    • du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
    • Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.

    Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d'utilisation des cmdlets SharePoint Server.

    Remarque

    [!REMARQUE] Si vous ne disposez pas des autorisations, contactez votre administrateur d'installation ou votre administrateur SQL Server afin de les demander. Pour plus d'informations sur les autorisations PowerShell, voir Add-SPShellAdmin.

  2. Dans SharePoint Management Shell, exécutez les commandes suivantes :

    $trustCert = Get-PfxCertificate "<C:\ConsumingFarmRoot.cer>"

New-SPTrustedRootAuthority "<ConsumingFarm>" -Certificate $trustCert

    Où :

    • <C:\ConsumingFarmRoot.cer> est le nom et l'emplacement du certificat racine que vous avez copié sur la batterie de publication à partir de la batterie consommatrice.
    • <ConsumingFarm> est un nom unique qui identifie la batterie consommatrice. Chaque autorité racine de confiance doit avoir un nom unique.

Pour importer le certificat STS et créer un émetteur de jeton de service approuvé sur la batterie de serveurs de publication

  1. Vérifiez que vous êtes membre :

    • du rôle serveur fixe securityadmin sur l'instance SQL Server.
    • du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
    • du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
    • Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.

    Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d'utilisation des cmdlets SharePoint Server.

    Remarque

    [!REMARQUE] Si vous ne disposez pas des autorisations, contactez votre administrateur d'installation ou votre administrateur SQL Server afin de les demander. Pour plus d'informations sur les autorisations PowerShell, voir Add-SPShellAdmin.

  2. Dans SharePoint Management Shell, exécutez les commandes suivantes :

    $stsCert = Get-PfxCertificate "<c:\ConsumingFarmSTS.cer>"

New-SPTrustedServiceTokenIssuer "<ConsumingFarm>" -Certificate $stsCert

    Où :

    • <C:\ConsumingFarmSTS.cer> est le chemin d'accès au certificat STS que vous avez copié sur la batterie de publication à partir de la batterie consommatrice.
    • <ConsumingFarm> est un nom unique qui identifie la batterie consommatrice. Chaque émetteur de jeton de service doit avoir un nom unique.

Pour plus d’informations sur ces cmdlets PowerShell, reportez-vous aux articles suivants :

Pour plus d'informations sur l'utilisation d'un script pour automatiser une partie de ce processus, voir l'article sur l'échange de certificats d'approbation entre batteries.

Gestion de certificats d’approbation à l’aide de l’Administration centrale

Vous pouvez gérer les relations d’approbation d’une batterie de serveurs uniquement après que les certificats appropriés ont été exportés et copiés vers la batterie.

Pour établir une approbation à l’aide de l’Administration centrale

  1. Vérifiez que le compte d’utilisateur qui exécute cette procédure est membre du groupe SharePoint Administrateurs de batterie.

  2. Sur le le site Web Administration centrale de SharePoint, cliquez sur Sécurité.

  3. Dans la page Sécurité, dans la section Sécurité générale, cliquez sur Gérer la relation d'approbation.

  4. Dans la page Relation d'approbation, sur le Ruban, cliquez sur Nouveau.

  5. Sur la page Établir une relation d’approbation, réalisez les étapes suivantes :

    • Spécifiez un nom qui décrit la fonction de cette relation d’approbation.

    • Naviguez jusqu'au certificat d'autorité racine de la relation d'approbation et sélectionnez-le. Il doit s'agir du certificat d'autorité racine qui a été exporté à partir de l'autre batterie à l'aide de Microsoft PowerShell, comme décrit dans Exportation et copie de certificats.

    • Si vous effectuez cette tâche sur la batterie de publication, cochez la case Fournir la relation d'approbation. Entrez un nom descriptif pour l'émetteur de jeton, naviguez jusqu'au certificat STS qui a été copié à partir de la batterie qui l'utilise, comme décrit dans Exportation et copie de certificats, et sélectionnez-le.

    • Cliquez sur OK.

    Une fois la relation d'approbation établie, vous pouvez modifier la description de l'émetteur de jeton ou les certificats utilisés en cliquant sur l'approbation, puis en cliquant sur Modifier. Vous pouvez supprimer une approbation en cliquant dessus, puis en cliquant sur Supprimer.

Voir aussi

Concepts

Planifier les méthodes d'authentification utilisateur dans SharePoint Server

Autres ressources

Créer une application Web (SharePoint Server 2010)

Configure SAML-based claims authentication with AD FS in SharePoint Server