Настройка межсерверной проверки подлинности между Office Online Server и SharePoint Server 2016

  • Статья

Сводка. Настройка проверки подлинности между серверами для Office Online Server и SharePoint 2016.

Межсерверная проверка подлинности между Office Online Server и SharePoint Server 2016 устанавливает доверительные отношения между двумя серверами. Это доверие — обязательное условие для некоторых функций Excel Online, таких как поддержка файла подключения к данным Office (ODC) и панели мониторинга и управления для ИТ-специалистов, которая входит в SQL Server PowerPivot для SharePoint. В этой статье описаны действия по настройке этого доверия.

Для настройки межсерверной проверки подлинности фермы Office Online Server и SharePoint Server должны находиться в одном лесу Active Directory. В ферме SharePoint Server также необходимо настроить приложение службы профилей пользователей.

Ниже приведены основные действия, необходимые для настройки межсерверной проверки подлинности.

  1. Импорт сертификата в Office Online Server
  2. Экспорт сертификата для использования в SharePoint Server
  3. Настройка Office Online Server на использование сертификата для межсерверной проверки подлинности
  4. Настройка SharePoint Server на использование сертификата для межсерверной проверки подлинности

Сначала необходимо импортировать сертификат в Office Online Server.

Импорт сертификата в Office Online Server

Первый шаг — импорт сертификат для использования в Office Online Server. Следуйте инструкциям в разделе Импорт сертификата и Предоставление разрешения сетевой службе, чтобы использовать процедуры ключей на каждом сервере в ферме Office Online Server.

Импорт сертификата

Можно использовать SSL-сертификат закрытого ключа или самозаверяющий сертификат. Настоятельно рекомендуем использовать SSL-сертификат закрытого ключа. В указанных ниже разделах приведены процедуры для обоих сертификатов. Выберите сертификат, который вы используете.

Использование SSL-сертификата закрытого ключа

Установите сертификат на каждом сервере с Office Online Server.

Установка сертификата в Office Online Server

  1. На сервере с Office Online Server откройте Диспетчер IIS.
  2. В левой области щелкните имя сервера.
  3. Дважды щелкните на пункт Сертификаты сервера.
  4. В области Действия выберите пункт Импорт.
  5. Введите путь и имя файла SSL-сертификата, который необходимо использовать.
  6. В поле Пароль введите пароль для сертификата.
  7. В раскрывающемся списке Выбор хранилища сертификата установите флажок Личный.
  8. Нажмите кнопку ОК.

Повторите эту процедуру на каждом сервере с Office Online.

Использование самозаверяющего сертификата

Если вы используете самозаверяющий сертификат, его необходимо добавить в доверенные корневые центры сертификации.

Импорт сертификата в доверенные корневые центры сертификации

  1. Откройте консоль управления (MMC).
  2. В меню Файл выберите команду Добавить или удалить оснастку.
  3. Выберите пункт Сертификаты, а затем нажмите кнопку Добавить.
  4. Выберите пункт Учетная запись компьютера, нажмите кнопку Далее, а затем Готово.
  5. Нажмите кнопку ОК.
  6. Разверните узел Сертификаты (локальный компьютер), щелкните правой кнопкой мыши Доверенные корневые центры сертификации, выберите пункт Все задачи, а затем Импорт.
  7. Нажмите кнопку Далее.
  8. Перейдите к расположению сертификата, выберите его и нажмите кнопку Далее.
  9. Введите пароль сертификата, нажмите кнопку Далее, а затем Готово.

Оставьте консоль управления (MMC) открытой для следующей процедуры.

Предоставление сетевой службе разрешения на использование ключа

После этого с помощью консоли управления (MMC) предоставьте сетевой службе разрешения на использование закрытого ключа.

Предоставление сетевой службе разрешений на использование закрытого ключа

  1. Откройте консоль управления (MMC).
  2. В меню Файл выберите команду Добавить или удалить оснастку.
  3. Выберите пункт Сертификаты, а затем нажмите кнопку Добавить.
  4. Выберите пункт Учетная запись компьютера, нажмите кнопку Далее, а затем Готово.
  5. Нажмите кнопку ОК.
  6. Последовательно разверните узлы Сертификаты (локальный компьютер), Личные и Сертификаты.
  7. Щелкните правой кнопкой мыши сертификат, который вы только что импортировали, выберите пункт Все задачи, а затем щелкните Управление закрытыми ключами.
  8. В диалоговом окне Разрешения нажмите кнопку Добавить.
  9. Введите Сетевая служба, а затем нажмите кнопку ОК.
  10. Нажмите кнопку OK.

Обязательно следуйте инструкциям импорта сертификата и предоставления разрешения сетевой службы, чтобы использовать процедуры ключей на каждом сервере в ферме Office Online Server.

Оставьте консоль управления (MMC) открытой для следующей процедуры.

Экспорт сертификата для использования в SharePoint Server

Следующий шаг экспорт сертификата, который можно использовать для регистрации Office Online Server в качестве надежного поставщика маркеров.

Экспорт сертификат для использования с SharePoint Server 2016

  1. Щелкните правой кнопкой мыши сертификат, который вы только что импортировали, выберите пункт Все задачи, а затем щелкните Экспорт.
  2. На странице приветствия нажмите кнопку Далее.
  3. Выберите параметр Нет, не экспортировать закрытый ключ, а затем нажмите кнопку Далее.
  4. Выберите пункт Файлы в DER-кодировке X.509 (.CER) и нажмите кнопку Далее.
  5. Введите путь и имя файла, который нужно экспортировать, и нажмите кнопку Далее.
  6. Нажмите Готово, а затем ОК.

Скопируйте созданный файл сертификата в расположение, в котором его можно открыть из SharePoint Server.

После этого необходимо указать этот сертификат в качестве сертификата S2S для Office Online Server.

Настройка Office Online Server на использование сертификата для межсерверной проверки подлинности

Указание сертификата S2S для Office Online Server

  1. Откройте окно Microsoft PowerShell от имени администратора.
  2. Введите следующий код, где <friendlyName> — понятное имя используемого сертификата.
Set-OfficeWebAppsFarm -S2SCertificateName "<friendlyName>" -Confirm:$false -Force

Использование HTTP с Office Online Server

Если для фермы Office Online Server используется HTTP, а не HTTPS, необходимо разрешить исходящие подключения по HTTP для Office Online Server. (Если используется протокол SSL, эту процедуру можно пропустить.)

Чтобы включить исходящие подключения HTTP для Office Online Server, выполните следующую команду PowerShell:

Set-OfficeWebAppsFarm -AllowOutboundHttp:$True
iisreset

Важно!

Настоятельно рекомендуется использовать ПРОТОКОЛ HTTPS (TLS) независимо от среды, так как Office Online Server использует маркеры OAuth для взаимодействия с внешними службами, такими как SharePoint или Exchange Server. Маркеры OAuth содержат сведения, которые потенциально могут быть перехвачены и воспроизведены злоумышленником, предоставляя злоумышленнику те же права, что и пользователь, выполняющий запрос на Office Online Server.

Использование путей HTTP с ODC-файлами

Если вы планируете хранить ODC-файлы в пути HTTP, необходимо настроить Office Online Server, чтобы разрешить подключения Secure Store по протоколу HTTP.

Важно!

Если используются подключения Secure Store по протоколу HTTP, содержимое ODC-файла передается в виде простого текста. ODC-файлы содержат сведения о подключениях к базам данных и могут включать пароли. Корпорация Майкрософт раскомментирует данные по протоколу HTTPS.

Чтобы настроить Office Online Server на использование путей HTTP со службой Secure Store, выполните следующую команду PowerShell:

Set-OfficeWebAppsFarm -AllowHttpSecureStoreConnections:$true
iisreset

Настройка SharePoint Server на использование сертификата для межсерверной проверки подлинности

Необходимо зарегистрировать SharePoint Server и SQL Server в качестве надежных поставщиков маркеров. Для этого используется PowerShell. Ниже перечислены используемые параметры.

  • <SPSiteURL> — URL-адрес семейства веб-сайтов верхнего уровня.
  • <CertificateIssuer> — имя издателя сертификата. Его можно найти на вкладке Сведения сертификата в диспетчере IIS.
  • <X509Certificate> — путь и имя файла экспортированного сертификата.
  • <RegisteredIssuer> — GUID доверенного издателя маркера. SharePoint Server — 67e3df25-268a-4324-a550-0de1c7f97287@bd2372e4-0a11-495c-9541-8377c6def195, а SQL Server — 67e3df25-268a-4324-a550-0de1c7f97287@ffab2d74-c6ae-4375-819a-8555d49b699a.

Выполните следующую процедуру дважды — один раз для каждого <GUID RegisteredIssuer> .

Регистрация надежного поставщика маркеров

  1. Откройте командную консоль SharePoint 2016 от имени администратора.
  2. Выполните следующий сценарий, используя указанные выше параметры:
$issuer = New-SPTrustedSecurityTokenIssuer -Name <CertificateIssuer> -Certificate <X509Certificate> -RegisteredIssuerName <RegisteredIssuer>
$app = Get-SPAppPrincipal -Site <SPSiteURL> -NameIdentifier $issuer.NameId
$site = Get-SPSite <SPSiteURL>
Set-SPAppPrincipalPermission -appPrincipal $app -Site $site.RootWeb -Scope SiteSubscription -Right FullControl -EnableAppOnlyPolicy
  1. Если используется самозаверяющий сертификат, выполните следующую команду:
New-SPTrustedRootAuthority -Name <CertificateIssuer> -Certificate <X509Certificate>

См. также

New-SPTrustedSecurityTokenIssuer

New-SPTrustedRootAuthority

Get-SPAppPrincipal

Set-SPAppPrincipalPermission