Gérer les certificats (FAST Search Server 2010 for SharePoint)
S’applique à : FAST Search Server 2010
Dernière rubrique modifiée : 2016-11-29
Important
Cet article a été traduit automatiquement, voir l’avertissement. Vous pouvez consulter la version en anglais de cet article ici.
FAST Search Server 2010 for SharePoint utilise des certificats à des fins d’authentification et de chiffrement. Les certificats sont utilisés pour la communication entre les serveurs dans un déploiement FAST Search Server 2010 for SharePoint multiserveur, ainsi qu’entre FAST Search Server 2010 for SharePoint et Microsoft SharePoint Server.
Potentiellement, chaque serveur dans un déploiement FAST Search Server 2010 for SharePoint possède trois certificats qui répondent à des fonctions différentes et qui doit être configuré et remplacé séparément :
Usage général rapide recherche certificat (utilisé pour la communication interne, les services d'administration et l'alimentation à partir de Microsoft SharePoint Server)
Certificat de serveur spécifiques pour le trafic des requêtes à l'aide de HTTPS (uniquement sur des serveurs de requête qui ont activé le trafic des requêtes HTTPS).
Demandes de certificat (uniquement sur des serveurs de requête).
Notez que les deux certificats première peuvent être combinées en un seul certificat, si les conditions répertoriées dans l'objectif général rapide recherche certificat sont remplies. Toutefois, vous devez effectuer certaines étapes de configuration pour chacun de ces deux certificats remplacer (par exemple, en raison d'expiration ou révocation).
Dans cette section :
Certificat de recherche rapide d'usage général
Certificat HTTPS de requête
Demandes de certificat
Certificat de recherche rapide d'usage général
Lors de l'installation initiale, FAST Search Server 2010 for SharePoint génère un certificat auto-signé. Le certificat auto-signé a une date d'expiration de l'année à partir du moment de la configuration et est uniquement destiné à être utilisé dans les environnements de test. Il existe plusieurs limites à ce certificat :
Les certificats auto-signés fournissent une sécurité limitée, car ils ne peuvent pas être révoqués. Ceci permettrait à un attaquant d'usurper des identités ou insérer des données dans les connexions si la clé privée a été compromise.
Le certificat auto-signé ne peut pas être utilisé pour activer les requêtes via HTTPS.
Le certificat auto-signé ne peut pas être utilisé pour activer les services d'administration via HTTPS.
Pour aider à atteindre un niveau de sécurité très élevé, FAST Search Server 2010 for SharePoint doit utiliser une infrastructure à clé publique (PKI) existante. Chaque serveur dans un déploiement de plusieurs serveurs FAST Search Server 2010 for SharePoint doit posséder un certificat séparé qui est émis par une autorité de certification (CA) commun.
Les conditions suivantes s'appliquent à chaque certificat de serveur :
Le nom de sujet ou le champ Nom (SAN) de la substitution du sujet doit contenir le nom de domaine pleinement qualifié (FQDN) du serveur sur lequel le certificat est délivré à. Cela est nécessaire pour prendre en charge des requêtes sur HTTPS et l'administration des services via HTTPS.
Le certificat est délivré à Microsoft SharePoint Server doit avoir le même émetteur en tant que les certificats sont délivrés aux serveurs dans le déploiement FAST Search Server 2010 for SharePoint.
L'utilisateur FAST Search Server 2010 for SharePoint doit avoir accès à la clé privée du certificat.
La distribution FAST Search Server 2010 for SharePoint inclut un script Windows PowerShell qui doit être exécuté sur chaque serveur de déploiement pour remplacer le certificat auto-signé par défaut. Le script peut effectuer deux tâches distinctes :
Créer un nouveau certificat auto-signé avec une date d'expiration d'un an et configurer FAST Search Server 2010 for SharePoint pour utiliser le nouveau certificat. Consultez Remplacer le certificat signé automatiquement avec un nouveau certificat auto-signé.
Configurer FAST Search Server 2010 for SharePoint pour utiliser un certificat existant qui est signé par une autorité de certification (CA) en fournissant une empreinte numérique d'un certificat déjà installé. Consultez Remplacer le certificat signé automatiquement avec un certificat signé par une autorité de certification (CA)
Remplacer le certificat auto-signé par un nouveau certificat auto-signé
Pour remplacer le certificat auto-signé par défaut par un nouveau certificat signé automatiquement, procédez comme suit :
Arrêtez FAST Search Server 2010 for SharePoint sur tous les serveurs de la batterie de serveurs, y compris le service de surveillance.
Sur le serveur d'administration, procédez comme suit :
Dans le menu Démarrer, cliquez sur Tous les programmes.
Cliquez sur Microsoft FAST Search Server 2010 for SharePoint et puis Microsoft FAST Search Server 2010 d'interpréteur de commandes de SharePoint.
À l'invite de commandes, accédez à installer\scripts sous le dossier d'installation.
Tapez la commande suivante :
.\ReplaceDefaultCertificate.ps1 -generateNewCertificate $true
Démarrez FAST Search Server 2010 for SharePoint sur le serveur d'administration.
Sur chaque serveur non administrateur, procédez comme suit :
Dans le menu Démarrer, cliquez sur Tous les programmes.
Cliquez sur Microsoft FAST Search Server 2010 for SharePoint et puis Microsoft FAST Search Server 2010 d'interpréteur de commandes de SharePoint.
À l'invite de commandes, accédez à installer\scripts sous le dossier d'installation.
Tapez la commande suivante :
.\ReplaceDefaultCertificate.ps1 -generateNewCertificate $true
Démarrez FAST Search Server 2010 for SharePoint sur tous les serveurs non administrateur.
Le nouveau certificat auto-signé aura une date d'expiration de l'année.
Si FAST Search Server 2010 for SharePoint a déjà été ajouté en tant qu'un back-end pour Microsoft SharePoint Server, vous devez également rétablir les opérations de certificat en que configurez SSL activé communication sous Créer et configurer l’application de service de recherche de contenu.
Remplacer le certificat auto-signé par un certificat signé par une autorité de certification (CA)
Pour remplacer le certificat auto-signé par défaut avec un certificat signé par une autorité de certification, procédez comme suit :
Arrêtez FAST Search Server 2010 for SharePoint sur tous les serveurs de la batterie de serveurs, y compris le service de surveillance.
Sur chaque serveur dans la batterie de serveurs FAST Search Server 2010 for SharePoint :
Assurez-vous que le nouveau certificat est installé correctement et que l'utilisateur FAST Search Server 2010 for SharePoint a accès à la clé privée du certificat.
Le certificat doit être installé sous Certificates(Local Computer)\Personal dans le magasin de certificats.
Le certificat d'autorité de certification du certificat doit être installé sous Certificates(Local Computer)\Trusted Root Certification Authorities.
Sur le serveur d'administration, procédez comme suit :
Dans le menu Démarrer, cliquez sur Tous les programmes.
Cliquez sur Microsoft FAST Search Server 2010 for SharePoint et puis Microsoft FAST Search Server 2010 d'interpréteur de commandes de SharePoint.
À l'invite de commandes, accédez à installer\scripts sous le dossier d'installation.
Tapez la commande suivante :
.\ReplaceDefaultCertificate.ps1 -thumbprint "certificate thumbprint"Vous pouvez déterminer l'empreinte de certificat en ouvrant le magasin de certificats sur le serveur local et de localiser le certificat.
Démarrez FAST Search Server 2010 for SharePoint sur le serveur d'administration.
Sur chaque serveur non administrateur, procédez comme suit :
Dans le menu Démarrer, cliquez sur Tous les programmes.
Cliquez sur Microsoft FAST Search Server 2010 for SharePoint et puis Microsoft FAST Search Server 2010 d'interpréteur de commandes de SharePoint.
À l'invite de commandes, accédez à installer\scripts sous le dossier d'installation.
Tapez la commande suivante :
.\ReplaceDefaultCertificate.ps1 -thumbprint "certificate thumbprint"Vous pouvez déterminer l'empreinte de certificat en ouvrant le magasin de certificats sur le serveur local et de localiser le certificat.
Démarrez FAST Search Server 2010 for SharePoint sur tous les serveurs non administrateur.
La Microsoft SharePoint Server qui exécute le contenu de la SSA a également besoin d'un certificat est signé par la même autorité de certification pour transférer des documents vers FAST Search Server 2010 for SharePoint :
Installer le certificat sur Microsoft SharePoint Server sous Certificates(Local Computer)\Personal dans le magasin de certificats. Le certificat d'autorité de certification du certificat doit être installé sous Certificates(Local Computer)\Trusted Root Certification Authorities. Les étapes suivantes aideront à définir les autorisations appropriées sur les certificats.
Copiez le script SecureFASTSearchConnector.ps1 à partir du serveur d'administration FAST Search Server 2010 for SharePoint sur le serveur de SharePoint Server 2010 qui exécute le connecteur de la recherche rapide. Le script SecureFASTSearchConnector.ps1 peut être trouvé dans le dossier d'installation, sous \installer\scripts\.
Sur le serveur SharePoint Server 2010 qui exécute le connecteur de la recherche rapide, procédez comme suit :
Dans le menu Démarrer, cliquez sur Tous les programmes.
Cliquez sur Microsoft SharePoint 2010 Products.
Cliquez sur SharePoint 2010 Management Shell et sélectionnez Exécuter en tant qu'administrateur.
Accédez au répertoire où vous avez copié le script SecureFASTSearchConnector.ps1 et exécutez-le, en remplaçant les paramètres requis par les valeurs pour votre environnement. Le nom de domaine et d'utilisateur doit refléter les détails de l'utilisateur qui exécute le service SharePoint Server Search 14 (OSearch14) :
Si vous connaissez l'empreinte numérique de votre certificat, tapez la commande suivante :
.\SecureFASTSearchConnector.ps1 -certThumbprint "certificate thumbprint" -ssaName "name of your content SSA" -username "domain\username"Si vous ne connaissez pas l'empreinte numérique de votre certificat, tapez la commande suivante :
.\SecureFASTSearchConnector.ps1 -ssaName "name of your content SSA" -username "domain\username"Cette commande retournera l'empreinte numérique de la liste des certificats et un message vous demandant si vous souhaitez utiliser le certificat suggéré.
Entrez y pour Oui et puis cliquez sur Entrée.
Certificat HTTPS de requête
Le certificat HTTPS de requête est utilisé pour crypter le trafic des requêtes. Pour l'installation initiale, voir la rubrique Activer HTTPS (FAST Search Server 2010 for SharePoint) (traduction automatique).
Remplacer le certificat HTTPS de requête
Pour remplacer le certificat HTTPS de requête, procédez comme suit sur chaque serveur de requête FAST Search Server 2010 for SharePoint :
Importer le nouveau certificat SSL de serveur spécifique dans le magasin de certificats. Le certificat doit être enregistré sous Certificates(Local Computer)\Personal. Accordez au groupe FASTSearchAdministrators un accès total à la fiche.
Supprimez la liaison de certificat précédent baseport + 286 :
Dans le menu Démarrer, cliquez sur Tous les programmes.
Cliquez sur Microsoft FAST Search Server 2010 for SharePoint.
Cliquez droit sur Microsoft FAST Search Server 2010 d'interpréteur de commandes de SharePoint et sélectionnez Exécuter en tant qu'administrateur.
À l'invite de commande Windows PowerShell, tapez la commande (s) suivant :
netsh http delete sslcert ipport=0.0.0.0:<baseport+286>Où :
- <baseport + 286> est le numéro de port réels.
Configurer le serveur de requête à utiliser le nouveau certificat sur baseport + 286 :
À l'invite de commande Windows PowerShell, tapez la commande (s) suivant :
netsh http add sslcert ipport=0.0.0.0:<baseport+286> appid={a5455c78-6489-4e13-b395-47fbdee0e7e6} certhash=<Cert_Thumprint>Où :
<Cert_Thumbprint> est l'empreinte numérique du nouveau certificat.
<baseport + 286> est le numéro de port réels.
En outre, si le nouveau certificat n'était pas signé par la même autorité de certification (CA) en tant que le certificat précédent, vous devez ajouter le certificat d'autorité de certification à l' Microsoft SharePoint Server :
Sur Microsoft SharePoint Server :
Activer une relation d'approbation dans Microsoft SharePoint Server pour l'ou les certificats SSL que vous avez créé pour chaque serveur de requête FAST Search Server 2010 for SharePoint. Cela en important le certificat public de l'autorité de signature de la SSL Certificate(s) dans Microsoft SharePoint Server :
Dans le menu Démarrer, cliquez sur Tous les programmes.
Cliquez sur Microsoft SharePoint 2010 Products.
Cliquez sur SharePoint 2010 Management Shell et sélectionnez Exécuter en tant qu'administrateur.
À l'invite de commandes, tapez la commande (s) suivant :
$trustCert = Get-PfxCertificate '<SSL_CA_Public_Cert>.cert' New-SPTrustedRootAuthority "FASTSearchHostQuerySSLCert" -Certificate $trustCertOù :
- <SSL_CA_Public_Cert> est le nom du certificat à partir de l'autorité de signature du ou des certificats SSL
Demandes de certificat
Le certificat de demandes fournit l'authentification basée sur les revendications. Pour remplacer ce certificat, répétez les étapes répertoriées sous Configurer l’authentification par revendications (FAST Search Server 2010 for SharePoint).
Notes
Avertissement traduction automatique : cet article a été traduit par un ordinateur, sans intervention humaine. Microsoft propose cette traduction automatique pour offrir aux personnes ne maîtrisant pas l’anglais l’accès au contenu relatif aux produits, services et technologies Microsoft. Comme cet article a été traduit automatiquement, il risque de contenir des erreurs de grammaire, de syntaxe ou de terminologie.