Troca de certificados de confiança entre farms no SharePoint Server
APLICA-SE A:2013 2016 2019 Subscription Edition SharePoint no Microsoft 365
No SharePoint Server, um farm pode ligar-se e consumir uma aplicação de serviço publicada noutro farm do SharePoint Server. Para que isso ocorra, os farms devem trocar certificados de confiança.
Os dois farms devem participar da troca para que o compartilhamento do aplicativo de serviços funcione.
Para obter mais informações sobre como compartilhar aplicativos de serviço em diferentes farms, consulte Compartilhar aplicativos de serviço entre farms no SharePoint Server.
Tem de utilizar comandos do Microsoft PowerShell para exportar e copiar os certificados entre farms. Após os certificados serem exportados e copiados, pode utilizar os comandos do PowerShell ou a Administração Central para gerir as confianças no farm.
Estas instruções presumem os seguintes critérios:
- Os servidores usados para esses procedimentos estão executando o PowerShell.
- O administrador irá selecionar e usar o mesmo servidor em cada farm para todas as etapas do processo.
- Se o Controle da Conta de Usuário (UAC) estiver ativado, você deve executar os comandos do PowerShell com privilégios elevados.
Antes de iniciar esta operação, examine as informações sobre as aplicações de serviço de compartilhamento em farms no SharePoint Server para saber mais sobre os pré-requisitos.
Exportando e copiando certificados
O administrador do farm de consumo deve fornecer dois certificados de confiança para o farm de publicação: um certificado raiz e um certificado do serviço de token de segurança (STS). O administrador do farm de publicação deve fornecer um certificado raiz para o farm de consumo.
É possível apenas exportar e copiar certificados usando o Windows PowerShell 3.0 ou mais recente.
Para exportar o certificado raiz do farm de consumo
Em um servidor que está executando o SharePoint Server no farm de consumo, verifique se você possui as seguintes associações:
- A função de servidor fixa securityadmin na instância do SQL Server.
- A função de banco de dados fixa db_owner em todos os bancos de dados que devem ser atualizados.
- O grupo de administradores no servidor no qual você está executando os cmdlets do PowerShell.
- Adicione associações que sejam necessárias além dos mínimos acima.
Um administrador pode usar o cmdlet Add-SPShellAdmin para conceder permissões para usar cmdlets SharePoint Server.
Observação
[!OBSERVAçãO] Se você não possui permissões, entre em contato com o Administrador da instalação ou com o administrador do SQL Server para solicitar permissões. Para mais informações sobre as permissões do Windows PowerShell, consulte Add-SPShellAdmin.
Na Shell de Gestão do SharePoint, execute os seguintes comandos:
$CFrootCert = (Get-SPCertificateAuthority).RootCertificate [System.IO.File]::WriteAllBytes('C:\ConsumingFarmRoot.cer', $CFrootCert.Export("Cert"))
Onde
C:\ConsumingFarmRoot.cer
está o caminho do certificado de raiz.
Para exportar o certificado STS do farm de consumo
Verifique se você possui as seguintes associações:
- A função de servidor fixa securityadmin na instância do SQL Server.
- A função de banco de dados fixa db_owner em todos os bancos de dados que devem ser atualizados.
- O grupo de administradores no servidor no qual você está executando os cmdlets do PowerShell.
- Adicione associações que sejam necessárias além dos mínimos acima.
Um administrador pode usar o cmdlet Add-SPShellAdmin para conceder permissões para usar cmdlets SharePoint Server.
Observação
[!OBSERVAçãO] Se você não possui permissões, entre em contato com o Administrador da instalação ou com o administrador do SQL Server para solicitar permissões. Para mais informações sobre as permissões do Windows PowerShell, consulte Add-SPShellAdmin.
Na Shell de Gestão do SharePoint, execute os seguintes comandos:
$stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate [System.IO.File]::WriteAllBytes('C:\ConsumingFarmSTS.cer', $stsCert.Export("Cert"))
Onde
C:\ConsumingFarmSTS.cer
está o caminho do certificado STS.
Para exportar o certificado raiz do farm de publicação
Em um servidor que está executando o SharePoint Server no farm de publicação, verifique se você possui as seguintes associações:
- A função de servidor fixa securityadmin na instância do SQL Server.
- A função de banco de dados fixa db_owner em todos os bancos de dados que devem ser atualizados.
- O grupo de administradores no servidor no qual você está executando os cmdlets do PowerShell.
- Adicione associações que sejam necessárias além dos mínimos acima.
Um administrador pode usar o cmdlet Add-SPShellAdmin para conceder permissões para usar cmdlets SharePoint Server.
Observação
[!OBSERVAçãO] Se você não possui permissões, entre em contato com o Administrador da instalação ou com o administrador do SQL Server para solicitar permissões. Para mais informações sobre as permissões do Windows PowerShell, consulte Add-SPShellAdmin.
Na Shell de Gestão do SharePoint, execute os seguintes comandos:
$PFrootCert = (Get-SPCertificateAuthority).RootCertificate [System.IO.File]::WriteAllBytes('C:\PublishingFarmRoot.cer', $PFrootCert.Export("Cert"))
Onde
C:\PublishingFarmRoot.cer
está o caminho do certificado de raiz.
Para copiar os certificados
- Copie os certificados raiz e STS do servidor no farm de consumo para o servidor no farm de publicação.
- Copie o certificado raiz do servidor no farm de publicação para um servidor no farm de consumo.
Gerenciar certificados de confiança usando o PowerShell
Gerenciar os certificados de confiança em um farm envolve estabelecer a confiança. Esta secção descreve como estabelecer confiança nos farms de consumo e publicação com comandos do PowerShell.
Estabelecendo a confiança no farm de consumo
Para estabelecer a confiança no farm de consumo, você deve importar o certificado raiz que foi copiado do farm publicador e criar uma autoridade raiz confiável.
Para importar o certificado raiz e criar uma autoridade raiz confiável no farm de consumo
Verifique se você possui as seguintes associações:
- A função de servidor fixa securityadmin na instância do SQL Server.
- A função de banco de dados fixa db_owner em todos os bancos de dados que devem ser atualizados.
- O grupo de administradores no servidor no qual você está executando os cmdlets do PowerShell.
- Adicione associações que sejam necessárias além dos mínimos acima.
Um administrador pode usar o cmdlet Add-SPShellAdmin para conceder permissões para usar cmdlets SharePoint Server.
Observação
[!OBSERVAçãO] Se você não possui permissões, entre em contato com o Administrador da instalação ou com o administrador do SQL Server para solicitar permissões. Para mais informações sobre as permissões do Windows PowerShell, consulte Add-SPShellAdmin.
Na Shell de Gestão do SharePoint, execute os seguintes comandos:
$trustCert = Get-PfxCertificate "<C:\PublishingFarmRoot.cer>" New-SPTrustedRootAuthority "<PublishingFarm>" -Certificate $trustCert
Em que:
- <C:\PublishingFarmRoot.cer> é o caminho do certificado raiz que você copiou para o farm de consumo, do farm de publicação.
- <PublishingFarm> é um nome exclusivo que identifica o farm de publicação. Cada autoridade raiz confiável tem que ter um nome exclusivo.
Estabelecendo a confiança no farm de publicação
Para estabelecer a confiança no farm de publicação, você deve importar o certificado raiz que foi copiado do farm de consumo e criar uma autoridade raiz confiável. Em seguida, é necessário importar o certificado STS que foi copiado do farm de consumo e criar um emissor de um token de serviço confiável.
Para importar o certificado raiz e criar uma autoridade raiz confiável no farm de publicação
Verifique se você possui as seguintes associações:
- A função de servidor fixa securityadmin na instância do SQL Server.
- A função de banco de dados fixa db_owner em todos os bancos de dados que devem ser atualizados.
- O grupo de administradores no servidor no qual você está executando os cmdlets do PowerShell.
- Adicione associações que sejam necessárias além dos mínimos acima.
Um administrador pode usar o cmdlet Add-SPShellAdmin para conceder permissões para usar cmdlets SharePoint Server.
Observação
[!OBSERVAçãO] Se você não possui permissões, entre em contato com o Administrador da instalação ou com o administrador do SQL Server para solicitar permissões. Para mais informações sobre as permissões do Windows PowerShell, consulte Add-SPShellAdmin.
Na Shell de Gestão do SharePoint, execute os seguintes comandos:
$trustCert = Get-PfxCertificate "<C:\ConsumingFarmRoot.cer>" New-SPTrustedRootAuthority "<ConsumingFarm>" -Certificate $trustCert
Em que:
- <C:\ConsumingFarmRoot.cer> é o nome e o local do certificado raiz que você copiou para o farm de publicação do farm de consumo.
- <ConsumingFarm> é um nome exclusivo que identifica o farm de consumo. Cada autoridade raiz confiável tem que ter um nome exclusivo.
Para importar o certificado STS e criar um emissor do token de serviço confiável
Verifique se você possui as seguintes associações:
- A função de servidor fixa securityadmin na instância do SQL Server.
- A função de banco de dados fixa db_owner em todos os bancos de dados que devem ser atualizados.
- O grupo de administradores no servidor no qual você está executando os cmdlets do PowerShell.
- Adicione associações que sejam necessárias além dos mínimos acima.
Um administrador pode usar o cmdlet Add-SPShellAdmin para conceder permissões para usar cmdlets SharePoint Server.
Observação
[!OBSERVAçãO] Se você não possui permissões, entre em contato com o Administrador da instalação ou com o administrador do SQL Server para solicitar permissões. Para mais informações sobre as permissões do Windows PowerShell, consulte Add-SPShellAdmin.
Na Shell de Gestão do SharePoint, execute os seguintes comandos:
$stsCert = Get-PfxCertificate "<c:\ConsumingFarmSTS.cer>" New-SPTrustedServiceTokenIssuer "<ConsumingFarm>" -Certificate $stsCert
Em que:
- <C:\ConsumingFarmSTS.cer> é o caminho do certificado STS que você copiou para o farm de publicação, do farm de consumo.
- <ConsumingFarm> é um nome exclusivo que identifica o farm de consumo. Cada emissor do token de serviço tem que ter um nome exclusivo.
Para saber mais sobre estes cmdlets do PowerShell, veja os seguintes artigos:
- Get-SPCertificateAuthority
- Get-SPSecurityTokenServiceConfig
- New-SPTrustedRootAuthority
- New-SPTrustedServiceTokenIssuer
- Get-PfxCertificate
Para saber mais sobre como usar um script para automatizar parte desse processo, veja Trocar certificados de confiança entre farms.
Gerenciando certificados de confiança usando o Central Administration
Você só pode gerenciar as confianças em um farm depois que os certificados relevantes já foram exportados e copiados para o farm.
Para estabelecer a confiança usando o Central Administration
Verifique se a conta de usuário que está executando esse procedimento é membro do grupo Administradores de Farm do SharePoint.
No site da Administração Central do SharePoint, clique em Segurança.
Na página Segurança, na seção Segurança Geral, clique em Gerenciar confiança.
Na página Relação de Confiança, na faixa de opções, clique em Novo.
Na página Estabelecer Relação de Confiança, faça o seguinte:
Forneça um nome que descreva o objetivo da relação de confiança.
Procure e selecione o Certificado de Autoridade Raiz para a relação de confiança. Tem de ser o Certificado de Autoridade de Raiz que foi exportado do outro farm através do Microsoft PowerShell, conforme descrito em Exportar e copiar certificados.
Se você está executando essa tarefa no farm de publicação, marque a caixa de seleção Fornecer Relação de Confiança. Digite um nome descritivo para o emissor do token e procure e selecione o certificado STS que foi copiado do farm de consumo, conforme descrito em Exportar e copiar certificados.
Clique em OK.
Depois que uma relação de confiança foi estabelecida, você pode modificar a descrição do Emissor do Token ou os certificados que são usados, clicando na confiança e em Editar. Você pode excluir uma confiança clicando nela e em Excluir.
Confira também
Conceitos
Plano para métodos de autenticação do usuário no SharePoint Server
Outros recursos
Criar um aplicativo Web no SharePoint Server
Configurar a autenticação de SAM baseada em declaração com o AD FS no SharePoint Server