Partager via

Échanger des certificats d’approbation entre batteries de serveurs (SharePoint Foundation 2010)

  • Article

 

S’applique à : SharePoint Foundation 2010

Dernière rubrique modifiée : 2016-11-30

Dans Microsoft SharePoint Foundation 2010, une batterie de serveurs SharePoint peut se connecter à une application de service qui est publiée sur une autre batterie de serveurs SharePoint Foundation 2010, et l’utiliser. Pour ce faire, les batteries de serveurs doivent échanger des certificats d’approbation.

Cet article décrit comment échanger des certificats d’approbation entre la batterie de serveurs de publication et la batterie de serveurs consommatrice. Notez que les deux batteries doivent participer à cet échange pour que le partage de l’application de service fonctionne.

Important

Avant que vous ne commenciez à partager des applications de service, il est fortement recommandé de lire les articles Partager des applications de service entre les batteries de serveurs (SharePoint Foundation 2010) et Planification de l’architecture des services (SharePoint Foundation 2010).

Vous devez utiliser les commandes Windows PowerShell 2,0 pour exporter et copier les certificats entre les batteries de serveurs. Une fois les certificats exportés et copiés, vous pouvez utiliser les commandes Windows PowerShell 2,0 ou l’Administration centrale pour gérer les relations d’approbation au sein de la batterie de serveurs.

Les instructions fournies ici supposent les critères suivants :

  • Que les serveurs qui sont utilisés pour ces procédures exécutent Windows PowerShell 2,0.

  • Que l’administrateur sélectionne et utilise le même serveur dans chaque batterie de serveurs pour toutes les étapes du processus.

  • Si le contrôle de compte d’utilisateur est activé, vous devez exécuter les commandes Windows PowerShell 2,0 avec des privilèges élevés.

Dans cet article :

  • Exportation et copie de certificats

  • Gestion des certificats d’approbation à l’aide de Windows PowerShell

  • Gestion des certificats d’approbation à l’aide de l’Administration centrale

Exportation et copie de certificats

Un administrateur de la batterie de serveurs consommatrice doit fournir deux certificats d’approbation à la batterie de serveurs de publication : un certificat racine et un certificat du service de jeton de sécurité (STS). Un administrateur de la batterie de serveurs de publication doit fournir un certificat racine à la batterie de serveurs consommatrice.

Vous ne pouvez qu’exporter et copier des certificats à l’aide de Windows PowerShell 2,0.

Pour exporter le certificat racine de la batterie de serveurs consommatrice

  1. Sur un serveur qui exécute SharePoint Foundation 2010 sur la batterie de serveurs consommatrice, vérifiez que vous remplissez les conditions minimales suivantes : Voir Add-SPShellAdmin.

  2. Dans le menu Démarrer, cliquez sur Outils d’administration.

  3. Cliquez sur SharePoint 2010 Management Shell.

  4. Depuis l’invite de commandes Windows PowerShell, tapez chacune des commandes suivantes :

    $rootCert = (Get-SPCertificateAuthority).RootCertificate

$rootCert.Export("Cert") | Set-Content <C:\ConsumingFarmRoot.cer> -Encoding byte

    <C:\ConsumingFarmRoot.cer> est le chemin d’accès du certificat racine.

Pour exporter le certificat STS de la batterie de serveurs consommatrice

  1. Depuis l’invite de commandes Windows PowerShell, tapez les commandes suivantes :

    $stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate

$stsCert.Export("Cert") | Set-Content <C:\ConsumingFarmSTS.cer> -Encoding byte

    <C:\ConsumingFarmSTS.cer> est le chemin d’accès du certificat STS.

Pour exporter le certificat racine de la batterie de serveurs de publication

  1. Sur un serveur qui exécute SharePoint Foundation 2010 sur la batterie de serveurs de publication, vérifiez que vous remplissez les conditions minimales suivantes : Voir Add-SPShellAdmin.

  2. Dans le menu Démarrer, cliquez sur Outils d’administration.

  3. Cliquez sur SharePoint 2010 Management Shell.

  4. Depuis l’invite de commandes Windows PowerShell, tapez les commandes suivantes :

    $rootCert = (Get-SPCertificateAuthority).RootCertificate

$rootCert.Export("Cert") | Set-Content <C:\PublishingFarmRoot.cer> -Encoding byte

    <C:\PublishingFarmRoot.cer> est le chemin d’accès du certificat racine.

Pour copier les certificats

  1. Copiez le certificat racine et le certificat STS du serveur de la batterie consommatrice sur le serveur de la batterie de publication.

  2. Copiez le certificat racine du serveur dans la batterie de serveurs de publication vers l’un des serveurs de la batterie de serveurs consommatrice.

Gestion des certificats d’approbation à l’aide de Windows PowerShell

La gestion des certificats d’approbation dans une batterie de serveurs implique l’établissement d’une relation d’approbation. Cette section explique comment établir une relation d’approbation pour les batteries de serveurs consommatrice et de publication à l’aide des commandes Windows PowerShell 2,0.

Établir l’approbation sur la batterie de serveurs consommatrice

Pour établir l’approbation sur la batterie consommatrice, vous devez importer le certificat racine qui a été copié à partir de la batterie de serveurs de publication et créer une autorité racine approuvée.

Pour importer le certificat racine et créer une autorité racine approuvée sur la batterie consommatrice

  1. Depuis l’invite de commandes Windows PowerShell d’un serveur de la batterie de serveurs consommatrice, tapez les commandes suivantes :

    $trustCert = Get-PfxCertificate <C:\PublishingFarmRoot.cer>

New-SPTrustedRootAuthority <PublishingFarm> -Certificate $trustCert

Où :

  • <C:\PublishingFarmRoot.cer> est le chemin d’accès du certificat racine que vous avez copié sur la batterie de serveurs consommatrice à partir de la batterie de serveurs de publication.

  • <PublishingFarm> est un nom unique identifiant la batterie de serveurs de publication. Chaque autorité racine approuvée doit avoir un nom unique.

Établir l’approbation sur la batterie de serveurs de publication

Pour établir l’approbation sur la batterie de serveurs de publication, vous devez importer le certificat racine qui a été copié à partir de la batterie de serveurs consommatrice et créer une autorité racine approuvée. Vous devez ensuite importer le certificat STS qui été copié à partir de la batterie consommatrice et créer un émetteur de jeton de service approuvé.

Pour importer le certificat racine et créer une autorité racine approuvée sur la batterie de publication

  1. Depuis l’invite de commandes Windows PowerShell d’un serveur de la batterie de serveurs de publication, tapez les commandes suivantes :

    $trustCert = Get-PfxCertificate <C:\ConsumingFarmRoot.cer>

New-SPTrustedRootAuthority <ConsumingFarm> -Certificate $trustCert

Où :

  • <C:\ConsumingFarmRoot.cer> est le nom et l’emplacement du certificat racine que vous avez copié sur la batterie de serveurs de publication à partir de la batterie de serveurs consommatrice.

  • <ConsumingFarm> est un nom unique identifiant la batterie de serveurs consommatrice. Chaque autorité racine approuvée doit avoir un nom unique.

Pour importer le certificat STS et créer un émetteur de jeton de service approuvé sur la batterie de publication

  1. Depuis l’invite de commandes Windows PowerShell d’un serveur de la batterie de serveurs de publication, tapez les commandes suivantes :

    $stsCert = Get-PfxCertificate <c:\ConsumingFarmSTS.cer>

New-SPTrustedServiceTokenIssuer <ConsumingFarm> -Certificate $stsCert

Où :

  1. <C:\ConsumingFarmSTS.cer> est le chemin d’accès du certificat STS que vous avez copié sur la batterie de serveurs de publication à partir de la batterie de serveurs consommatrice.

  2. <ConsumingFarm> est un nom unique identifiant la batterie de serveurs consommatrice. Chaque émetteur de jeton de service approuvé doit avoir un nom unique.

Pour plus d’informations sur ces applets de commande Windows PowerShell 2,0, voir les articles suivants :

Gestion des certificats d’approbation à l’aide de l’Administration centrale

Vous pouvez gérer les relations d’approbation d’une batterie de serveurs uniquement après que les certificats appropriés ont été exportés et copiés vers la batterie.

Pour établir une relation d’approbation à l’aide de l’Administration centrale

  1. Vérifiez que le compte d’utilisateur qui effectue cette procédure est membre du groupe SharePoint Administrateurs de batterie de serveurs.

  2. Dans le site Web Administration centrale de SharePoint, cliquez sur Sécurité.

  3. Dans la page Sécurité, dans la section Sécurité générale, cliquez sur Gérer la relation d’approbation.

  4. Dans la page Relation d’approbation, dans le ruban, cliquez sur Nouveau.

  5. Dans la page Établir une relation d’approbation :

    1. Indiquez un nom qui décrit la finalité de la relation d’approbation.

    2. Accédez au certificat d’autorité racine et sélectionnez ce dernier pour la relation d’approbation. Il doit s’agir du certificat d’autorité racine exporté à partir de l’autre batterie de serveurs à l’aide de Windows PowerShell, comme indiqué dans Exportation et copie de certificats.

    3. Si vous effectuez cette tâche sur la batterie de serveurs de publication, activez la case à cocher correspondant à Fournir la relation d’approbation. Tapez un nom descriptif pour l’émetteur de jeton, puis recherchez et sélectionnez le certificat STS copié à partir de la batterie de serveurs consommatrice, comme indiqué dans Exportation et copie de certificats.

    4. Cliquez sur OK.

    Une fois la relation d’approbation établie, vous pouvez modifier la description de l’émetteur de jeton ou les certificats utilisés en cliquant sur la relation d’approbation, puis sur Modifier. Vous pouvez supprimer une relation d’approbation en cliquant sur cette dernière, puis sur Supprimer.

See Also

Concepts

Configurer l’authentification par revendications (SharePoint Foundation 2010)
Configurer le service de jeton de sécurité (SharePoint Foundation 2010)

Other Resources

(Obsolète) Planifier l’authentification par revendications (SharePoint Foundation 2010)