Redefinir a chave de geração de certificado para o SharePoint Gerenciador de Fluxos de Trabalho
A Chave de Geração de Certificados do SharePoint Gerenciador de Fluxos de Trabalho (SPWFM) é semelhante à senha do farm do SharePoint na qual você precisa dela para ingressar em um farm SPWFM. Ao ingressar em um farm SPWFM existente, por exemplo, durante uma atualização ou migração, o assistente de configuração de fluxo de trabalho solicita que você o solicite.
Se você não documentou essa chave ao configurar pela primeira vez o farm de fluxo de trabalho e não sabe o que é, você deve redefini-la antes de sair do farm de fluxo de trabalho.
Importante
A redefinição da Chave de Geração de Certificados também resultará na geração de novos certificados de fluxo de trabalho e barramento de serviço. Você precisará tomar medidas extras para garantir que os servidores do SharePoint confiem nesses novos certificados. A falha em fazê-lo resultará em falha em todos os fluxos de trabalho de plataforma de 2013.
Redefinir a chave
Você pode usar o script do PowerShell a seguir para redefinir a chave, mas deve executá-la em um servidor SPWFM ainda ingressado no farm de fluxo de trabalho. Se você tiver vários nós/hosts no farm de fluxo de trabalho, é recomendável simplificar o processo fazendo com que os outros nós saiam do farm, restando apenas um.
# Just provide the new certificate key here, for example P@ssWord1
# MAKE SURE YOU DOCUMENT THIS KEY SOMEWHERE SO YOU DON'T HAVE TO REPEAT THIS EXERCISE
$CertKey = convertto-securestring "[YourPassword]" -asplaintext -force
### You should NOT have to change anything below this line ###
# Set the key for WF
$WFdb = (get-wffarm).wffarmdbconnectionstring
Set-WFCertificateAutoGenerationKey -WFFarmDBConnectionString $WFdb -key $CertKey -Verbose
# Force the Update on the WF side
Stop-WFHost
Update-WFHost -CertificateAutoGenerationKey $CertKey
"Starting Workflow Farm. This could take a few minutes..."
Start-WFHost
# Set the key for SB
$SBdb = (get-sbfarm).SBFarmDBConnectionString
Set-SBCertificateAutogenerationKey -SBFarmDBConnectionString $SBdb -key $CertKey -Verbose
# Force the Update on the SB side
Stop-Sbfarm
Update-SBHost -CertificateAutoGenerationKey $CertKey
Write-host "Starting Service Bus Farm. This could take a few minutes..."
Start-SBfarm
# Some steps you need to take on the SharePoint side
Write-host -ForegroundColor yellow "Exporting the new WF endpoint cert to the current directory. You MUST install this cert on all SharePoint servers."
Write-host "$PWD\WFsslCert.cer"
Get-WFAutoGeneratedCA -CACertificateFileName WFsslCert.cer
Write-host -ForegroundColor yellow "AFTER you have installed $PWD\WFsslCert.cer on your SharePoint servers, you must also run the ""Refresh Trusted Security Token Services Metadata feed"" timer job on the SharePoint side to update the Workflow Outbound certificate."
Confie nos novos certificados no lado do SharePoint
Conforme mencionado acima, a redefinição da Chave de Geração de Certificado resulta na geração de novos certificados. Estes são certificados autoassinados em que os servidores do SharePoint não confiarão. Você deve tomar as etapas a seguir para garantir que os servidores do SharePoint confiem nos novos certificados.
Confie no novo certificado de ponto de extremidade do fluxo de trabalho em todos os servidores do SharePoint. Você deve ter notado que o script do PowerShell acima exportou esse certificado para o diretório atual como "WFsslCert.cer". Esse é o que seus servidores do SharePoint precisam confiar. Copie-o para cada servidor do SharePoint e instale-o no repositório Autoridades de Certificação Raiz Confiáveis. Consulte Instalar certificados de Gerenciador de Fluxos de Trabalho no SharePoint para obter etapas detalhadas.
Atualize o SPTrustedSecurityTokenIssuer executando o trabalho de temporizador RefreshMetadataFeed em qualquer servidor do SharePoint. Você pode fazer isso com este PowerShell:
$tj = Get-SPTimerJob | ? {$_.name -match "RefreshMetadataFeed"} Start-SPTimerJob $tj