Scambiare certificati di attendibilità tra farm in SharePoint Server

Articolo
03/08/2023

SI APPLICA A: yes-img-13 2013 yes-img-16 2016 yes-img-19 2019 yes-img-se Subscription Edition no-img-sop SharePoint in Microsoft 365

In SharePoint Server, una farm può connettersi e utilizzare un'applicazione di servizio pubblicata in un'altra farm di SharePoint Server. A tale scopo, le farm devono scambiarsi certificati di attendibilità.

Perché la condivisione delle applicazioni di servizio funzioni, entrambe le farm devono partecipare a questo scambio.

Per ulteriori informazioni su come condividere le applicazioni di servizio tra farm, vedere Condividere le applicazioni di servizio tra farm in SharePoint Server.

È necessario utilizzare comandi di Microsoft PowerShell per esportare e copiare i certificati tra le farm. Dopo aver esportato e copiato i certificati, è possibile utilizzare comandi di PowerShell oppure Amministrazione centrale per gestire le relazioni di trust all'interno della farm.

Le istruzioni riportate in questo articolo si basano sui criteri seguenti:

I server utilizzati per queste procedure eseguono PowerShell.
L'amministratore selezionerà e utilizzerà lo stesso server di ogni farm per tutti i passaggi del processo.
Se Controllo dell'account utente è attivato, sarà necessario eseguire i comandi di PowerShell con privilegi elevati.

Per informazioni sui prerequisiti, consultare Condividere le applicazioni di servizio tra farm in SharePoint Server prima di iniziare questa operazione.

Esportazione e copia dei certificati

Un amministratore della farm di utilizzo deve fornire due certificati di attendibilità alla farm di pubblicazione, ovvero un certificato radice e un certificato del servizio token di sicurezza (STS). Un amministratore della farm di pubblicazione deve fornire un certificato radice alla farm di utilizzo.

È possibile esportare e copiare certificati esclusivamente tramite Windows PowerShell 3.0 o versioni successive.

Per esportare il certificato radice dalla farm di utilizzo

In un server che esegue SharePoint Server nella farm di utilizzo verificare di essere membri dei ruoli e gruppi seguenti:
- Ruolo predefinito del server securityadmin nell'istanza di SQL Server.
- Ruolo predefinito del database db_owner in tutti i database da aggiornare.
- Gruppo Administrators per il server in cui vengono eseguiti i cmdlet diPowerShell.
- Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.
Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.

Nota

[!NOTA] Se non si dispone delle autorizzazioni, richiederle all'amministratore per l'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.

In SharePoint Management Shell eseguire i comandi seguenti:

$CFrootCert = (Get-SPCertificateAuthority).RootCertificate

[System.IO.File]::WriteAllBytes('C:\ConsumingFarmRoot.cer', $CFrootCert.Export("Cert"))

Dove C:\ConsumingFarmRoot.cer è il percorso del certificato radice.

Per esportare il certificato STS dalla farm di utilizzo

Verificare di essere membri dei ruoli e dei gruppi seguenti:
- Ruolo predefinito del server securityadmin nell'istanza di SQL Server.
- Ruolo predefinito del database db_owner in tutti i database da aggiornare.
- Gruppo Administrators per il server in cui vengono eseguiti i cmdlet diPowerShell.
- Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.
Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.

Nota

[!NOTA] Se non si dispone delle autorizzazioni, richiederle all'amministratore per l'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.

In SharePoint Management Shell eseguire i comandi seguenti:

$stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate

[System.IO.File]::WriteAllBytes('C:\ConsumingFarmSTS.cer', $stsCert.Export("Cert"))

Dove C:\ConsumingFarmSTS.cer è il percorso del certificato del servizio token di sicurezza.

Per esportare il certificato radice dalla farm di pubblicazione

In un server che esegue SharePoint Server nella farm di pubblicazione verificare di essere membri dei ruoli e gruppi seguenti:
- Ruolo predefinito del server securityadmin nell'istanza di SQL Server.
- Ruolo predefinito del database db_owner in tutti i database da aggiornare.
- Gruppo Administrators per il server in cui vengono eseguiti i cmdlet diPowerShell.
- Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.
Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.

Nota

[!NOTA] Se non si dispone delle autorizzazioni, richiederle all'amministratore per l'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.

In SharePoint Management Shell eseguire i comandi seguenti:

$PFrootCert = (Get-SPCertificateAuthority).RootCertificate

[System.IO.File]::WriteAllBytes('C:\PublishingFarmRoot.cer', $PFrootCert.Export("Cert"))

Dove C:\PublishingFarmRoot.cer è il percorso del certificato radice.

Per copiare i certificati

Copiare il certificato radice e il certificato STS dal server della farm di utilizzo al server della farm di pubblicazione.
Copiare il certificato radice dal server della farm di pubblicazione a un server della farm di utilizzo.

Gestione dei certificati di attendibilità tramite PowerShell

Per gestire i certificati di attendibilità in una farm è necessario stabilire una relazione di trust. In questa sezione viene illustrato come stabilire tale relazione sia nella farm di utilizzo che nella farm di pubblicazione tramite comandi di PowerShell.

Definizione di una relazione di trust nella farm di utilizzo

Per stabilire una relazione di trust nella farm di utilizzo, è necessario importare il certificato radice copiato dalla farm di pubblicazione e creare un'autorità radice attendibile.

Per importare il certificato radice e creare un'autorità radice attendibile nella farm di utilizzo

Verificare di essere membri dei ruoli e dei gruppi seguenti:
- Ruolo predefinito del server securityadmin nell'istanza di SQL Server.
- Ruolo predefinito del database db_owner in tutti i database da aggiornare.
- Gruppo Administrators per il server in cui vengono eseguiti i cmdlet diPowerShell.
- Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.
Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.

Nota

[!NOTA] Se non si dispone delle autorizzazioni, richiederle all'amministratore per l'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.
In SharePoint Management Shell eseguire i comandi seguenti:
```
$trustCert = Get-PfxCertificate "<C:\PublishingFarmRoot.cer>"

New-SPTrustedRootAuthority "<PublishingFarm>" -Certificate $trustCert
```
Dove:
- <C:\PublishingFarmRoot.cer> è il percorso del certificato radice copiato nella farm di utilizzo dalla farm di pubblicazione.
- <PublishingFarm> è un nome univoco che identifica la farm di pubblicazione. Ogni autorità radice attendibile deve avere un nome univoco.

Definizione di una relazione di trust nella farm di pubblicazione

Per stabilire una relazione di trust nella farm di pubblicazione, è necessario importare il certificato radice copiato dalla farm di utilizzo e creare un'autorità radice attendibile. È quindi necessario importare il certificato STS copiato dalla farm di utilizzo e creare un'autorità emittente di token di servizio attendibile.

Per importare il certificato radice e creare un'autorità radice attendibile nella farm di pubblicazione

Verificare di essere membri dei ruoli e dei gruppi seguenti:
- Ruolo predefinito del server securityadmin nell'istanza di SQL Server.
- Ruolo predefinito del database db_owner in tutti i database da aggiornare.
- Gruppo Administrators per il server in cui vengono eseguiti i cmdlet diPowerShell.
- Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.
Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.

Nota

[!NOTA] Se non si dispone delle autorizzazioni, richiederle all'amministratore per l'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.
In SharePoint Management Shell eseguire i comandi seguenti:
```
$trustCert = Get-PfxCertificate "<C:\ConsumingFarmRoot.cer>"

New-SPTrustedRootAuthority "<ConsumingFarm>" -Certificate $trustCert
```
Dove:
- <C:\ConsumingFarmRoot.cer> è il nome e il percorso del certificato radice copiato nella farm di pubblicazione dalla farm di utilizzo.
- <ConsumingFarm> è un nome univoco che identifica la farm di utilizzo. Ogni autorità radice attendibile deve avere un nome univoco.

Per importare il certificato STS e creare un'autorità emittente di token di servizio attendibile nella farm di pubblicazione

Verificare di essere membri dei ruoli e dei gruppi seguenti:
- Ruolo predefinito del server securityadmin nell'istanza di SQL Server.
- Ruolo predefinito del database db_owner in tutti i database da aggiornare.
- Gruppo Administrators per il server in cui vengono eseguiti i cmdlet diPowerShell.
- Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.
Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.

Nota

[!NOTA] Se non si dispone delle autorizzazioni, richiederle all'amministratore per l'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.
In SharePoint Management Shell eseguire i comandi seguenti:
```
$stsCert = Get-PfxCertificate "<c:\ConsumingFarmSTS.cer>"

New-SPTrustedServiceTokenIssuer "<ConsumingFarm>" -Certificate $stsCert
```
Dove:
- <C:\ConsumingFarmSTS.cer> è il percorso del certificato STS copiato nella farm di pubblicazione dalla farm di utilizzo.
- <ConsumingFarm> è un nome univoco che identifica la farm di utilizzo. Ogni autorità emittente di token di servizio attendibile deve avere un nome univoco.

Per ulteriori informazioni su questi cmdlet di PowerShell, vedere gli articoli seguenti:

Per informazioni su come utilizzare uno script per automatizzare parte di questo processo, vedere l'articolo relativo allo scambio di certificati di attendibilità tra farm.

Gestione dei certificati di attendibilità tramite Amministrazione centrale

È possibile gestire le relazioni di trust in una farm solo dopo avervi esportato e copiato i certificati appropriati.

Per stabilire una relazione di trust tramite Amministrazione centrale

Verificare che l'account utente che esegue questa procedura sia membro del gruppo di SharePoint Amministratori farm.
Nel il sito Web Amministrazione centrale SharePoint fare clic su Sicurezza.
Nella sezione Sicurezza generale della pagina Sicurezza fare clic su Gestisci relazione di trust.
Nella pagina Relazioni di trust fare clic su Nuovo sulla barra multifunzione.
Nella pagina Stabilisci relazione di trust eseguire le operazioni seguenti:
- Specificare un nome che descriva lo scopo della relazione di trust.
- Individuare e selezionare il certificato autorità radice per la relazione di trust. Deve essere il certificato autorità radice esportato dall'altra farm tramite Microsoft PowerShell, come illustrato in Esportazione e copia dei certificati.
- Se si sta eseguendo questa attività nella farm di pubblicazione, selezionare la casella di controllo Conferma relazione di trust. Digitare un nome descrittivo per l'autorità emittente di token, quindi individuare e selezionare il certificato STS copiato dalla farm di utilizzo, come illustrato in Esportazione e copia dei certificati.
- Fare clic su OK.
Dopo avere stabilito una relazione di trust, è possibile modificare la descrizione dell'autorità emittente di token oppure i certificati utilizzati facendo clic sulla relazione di trust e quindi su Modifica. È possibile eliminare una relazione di trust facendo clic su di essa e quindi su Elimina.

Vedere anche

Concetti

Pianificare i metodi di autenticazione degli utenti in SharePoint Server

Ulteriori risorse

Creare un'applicazione Web in SharePoint Server

Configure SAML-based claims authentication with AD FS in SharePoint Server

Condividi tramite

Scambiare certificati di attendibilità tra farm in SharePoint Server

Esportazione e copia dei certificati

Per esportare il certificato radice dalla farm di utilizzo

Per esportare il certificato STS dalla farm di utilizzo

Per esportare il certificato radice dalla farm di pubblicazione

Per copiare i certificati

Gestione dei certificati di attendibilità tramite PowerShell

Definizione di una relazione di trust nella farm di utilizzo

Per importare il certificato radice e creare un'autorità radice attendibile nella farm di utilizzo

Definizione di una relazione di trust nella farm di pubblicazione

Per importare il certificato radice e creare un'autorità radice attendibile nella farm di pubblicazione

Per importare il certificato STS e creare un'autorità emittente di token di servizio attendibile nella farm di pubblicazione

Gestione dei certificati di attendibilità tramite Amministrazione centrale

Per stabilire una relazione di trust tramite Amministrazione centrale

Vedere anche

Concetti

Ulteriori risorse

Risorse aggiuntive