Обмен сертификатами доверия между фермами в SharePoint Server

 

**Применимо к:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**Последнее изменение раздела:**2017-09-14

Сводка. Узнайте, как обмениваться сертификатами доверия между фермой публикации и потребляющей фермой в SharePoint Server 2016 и SharePoint 2013.

В SharePoint Server ферма может подключиться к приложению службы, опубликованному в другой ферме SharePoint Server, и использовать это приложение. Для этого фермы должны обменяться сертификатами доверия.

Для использования общего доступа к приложению-службе в этом обмене должны участвовать обе фермы.

Дополнительные сведения о предоставлении общего доступа к приложениям-службам для нескольких ферм см. в статье Совместное использование приложений службы в разных фермах SharePoint Server.

Для экспорта и копирования сертификатов между фермами необходимо использовать команды Microsoft PowerShell. После экспорта и копирования сертификатов можно использовать либо команды PowerShell, либо Центр администрирования, для управления отношениями доверия внутри фермы.

Приведенные инструкции предполагают выполнение следующих условий.

• На серверах, используемых для этой процедуры, выполняется PowerShell.

• Администратор выберет в каждой ферме и будет использовать для всех этапов этого процесса один и тот же сервер.

• Если включен контроль учетных записей, команды PowerShell необходимо выполнять с повышенным уровнем привилегий.

В этой статье

• Экспорт и копирование сертификатов

• Управление корневыми сертификатами с помощью Windows PowerShell

• Управление корневыми сертификатами с помощью центра администрирования

Перед выполнением этой операции ознакомьтесь со статьей Совместное использование приложений службы в разных фермах SharePoint Server, в которой представлены сведения о необходимых компонентах.

Экспорт и копирование сертификатов

Администратор фермы использования должен предоставить ферме публикации два сертификата доверия: корневой сертификат и сертификат службы маркеров безопасности (STS). Администратор фермы публикации должен предоставить ферме использования корневой сертификат.

Экспортировать и копировать сертификаты можно только с помощью Windows PowerShell 3.0 или боле поздней версии.

Экспорт корневого сертификата из потребляющей фермы

1. На сервере с SharePoint Server в потребляющей ферме убедитесь, что являетесь участником следующих ролей и групп:

   • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

   • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

   • Группа "Администраторы" на сервере, на котором выполняются командлеты PowerShell.

   • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

   С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

   Примечание

   Если у вас нет разрешений, обратитесь к администратору установки или администратору SQL Server для запроса разрешений. Дополнительные сведения о разрешениях PowerShell см. в статье Add-SPShellAdmin.

2. Запустите Командная консоль SharePoint.

3. В командной строке PowerShell введите следующую команду:

   $rootCert = (Get-SPCertificateAuthority).RootCertificate
   
   $rootCert.Export("Cert") | Set-Content <C:\ConsumingFarmRoot.cer> -Encoding byte
   

   Где <C:\ConsumingFarmRoot.cer> — путь к корневому сертификату.

Экспорт сертификата STS из фермы использования

1. Убедитесь, что у вас есть разрешения для таких групп и ролей:

   • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

   • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

   • Группа "Администраторы" на сервере, на котором выполняются командлеты PowerShell.

   • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

   С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

   Примечание

   Если у вас нет разрешений, обратитесь к администратору установки или администратору SQL Server для запроса разрешений. Дополнительные сведения о разрешениях PowerShell см. в статье Add-SPShellAdmin.

2. Запустите Командная консоль SharePoint.

3. В командной строке PowerShell введите следующую команду:

   $stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate
   
   $stsCert.Export("Cert") | Set-Content <C:\ConsumingFarmSTS.cer> -Encoding byte
   

   Где <C:\ConsumingFarmSTS.cer> — путь к сертификату STS.

Экспорт корневого сертификата из фермы публикации

1. На сервере с SharePoint Server в ферме публикации убедитесь, что являетесь участником следующих ролей и групп:

   • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

   • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

   • Группа "Администраторы" на сервере, на котором выполняются командлеты PowerShell.

   • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

   С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

   Примечание

   Если у вас нет разрешений, обратитесь к администратору установки или администратору SQL Server для запроса разрешений. Дополнительные сведения о разрешениях PowerShell см. в статье Add-SPShellAdmin.

2. Запустите Командная консоль SharePoint.

3. В командной строке PowerShell введите следующую команду:

   $rootCert = (Get-SPCertificateAuthority).RootCertificate
   
   $rootCert.Export("Cert") | Set-Content <C:\PublishingFarmRoot.cer> -Encoding byte
   

   Где <C:\PublishingFarmRoot.cer> — путь к корневому сертификату.

Копирование сертификатов

1. Скопируйте корневой сертификат и сертификат STS с сервера фермы использования на сервер фермы публикации.

2. Скопируйте корневой сертификат с сервера фермы публикации на сервер фермы использования.

Управление сертификатами доверия с помощью PowerShell

Управление сертификатами доверия включает установку отношений доверия. В этом разделе описывается, как установить отношения доверия в обеих фермах, использования и публикации, с помощью команд PowerShell.

Создание отношения доверия в ферме использования

Чтобы создать отношение доверия в ферме использования, необходимо импортировать корневой сертификат, скопированный из фермы публикации, и создать доверенный корневой центр.

Импорт корневого сертификата и создание доверенного корневого центра в ферме использования

1. Убедитесь, что у вас есть разрешения для таких групп и ролей:

   • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

   • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

   • Группа "Администраторы" на сервере, на котором выполняются командлеты PowerShell.

   • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

   С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

   Примечание

   Если у вас нет разрешений, обратитесь к администратору установки или администратору SQL Server для запроса разрешений. Дополнительные сведения о разрешениях PowerShell см. в статье Add-SPShellAdmin.

2. Запустите Командная консоль SharePoint.

3. В командной строке PowerShell введите следующую команду:

   $trustCert = Get-PfxCertificate <C:\PublishingFarmRoot.cer>
   
   New-SPTrustedRootAuthority <PublishingFarm> -Certificate $trustCert
   

   Где:

   • <C:\PublishingFarmRoot.cer> — это путь к корневому сертификату, скопированному в ферму использования из фермы публикации.

   • <PublishingFarm> — это уникальное имя, определяющее ферму публикации. Имя каждого доверенного корневого центра должно быть уникальным.

Установка отношения доверия для фермы публикации

Чтобы создать отношение доверия на ферме публикации, необходимо импортировать корневой сертификат, скопированный из фермы использования, и создать доверенный корневой центр. Затем необходимо импортировать сертификат STS, скопированный из фермы использования, и создать надежный поставщик маркеров служб.

Импорт корневого сертификата и создание доверенного корневого центра в ферме публикации

1. Убедитесь, что у вас есть разрешения для таких групп и ролей:

   • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

   • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

   • Группа "Администраторы" на сервере, на котором выполняются командлеты PowerShell.

   • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

   С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

   Примечание

   Если у вас нет разрешений, обратитесь к администратору установки или администратору SQL Server для запроса разрешений. Дополнительные сведения о разрешениях PowerShell см. в статье Add-SPShellAdmin.

2. Запустите Командная консоль SharePoint.

3. В командной строке PowerShell введите следующую команду:

   $trustCert = Get-PfxCertificate <C:\ConsumingFarmRoot.cer>
   
   New-SPTrustedRootAuthority <ConsumingFarm> -Certificate $trustCert
   

   Где:

   • <C:\ConsumingFarmRoot.cer> — это имя и местоположение корневого сертификата, скопированного в ферму публикации из фермы использования.

   • <ConsumingFarm> — это уникальное имя, определяющее ферму использования. Имя каждого доверенного корневого центра должно быть уникальным.

Импорт сертификата STS и создание надежного поставщика токенов служб в ферме публикации

1. Убедитесь, что у вас есть разрешения для таких групп и ролей:

   • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

   • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

   • Группа "Администраторы" на сервере, на котором выполняются командлеты PowerShell.

   • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

   С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

   Примечание

   Если у вас нет разрешений, обратитесь к администратору установки или администратору SQL Server для запроса разрешений. Дополнительные сведения о разрешениях PowerShell см. в статье Add-SPShellAdmin.

2. Запустите Командная консоль SharePoint.

3. В командной строке PowerShell введите следующую команду:

   $stsCert = Get-PfxCertificate 
   <c:\ConsumingFarmSTS.cer>
   
   New-SPTrustedServiceTokenIssuer <ConsumingFarm> -Certificate $stsCert
   

   Где:

   • <C:\ConsumingFarmSTS.cer> — это путь к сертификату STS, скопированному в ферму публикации из фермы использования.

   • <ConsumingFarm> — это уникальное имя, определяющее ферму использования. Имя каждого надежного поставщика маркеров служб должно быть уникальным.

Где:

Дополнительные сведения об этих командлетах PowerShell см. в следующих статьях:

• Get-SPCertificateAuthority

• Get-SPSecurityTokenServiceConfig

• New-SPTrustedRootAuthority

• New-SPTrustedServiceTokenIssuer

• Get-PfxCertificate

Сведения об использовании скрипта для автоматизации части этого процесса см. в статье Обмен сертификатами доверия между фермами.

Управление сертификатами доверия с помощью центра администрирования

Управлять отношениями доверия для фермы можно только после экспорта и копирования в ферму соответствующих сертификатов.

Установка отношения доверия с помощью центра администрирования

1. Проверьте, является ли учетная запись пользователя, с помощью которой выполняется данная процедура, членом группы администраторов фермы SharePoint.

2. В Веб-сайт центра администрирования SharePoint щелкните Безопасность.

3. На странице "Безопасность" в разделе Общая безопасность выберите Управление доверительными отношениями.

4. На странице "Отношения доверия" нажмите на ленте кнопку Создать.

5. На странице "Установить отношение доверия":

   1. Введите имя, описывающее назначение отношения доверия.

   2. Выберите сертификат корневого центра сертификации для отношения доверия. Это должен быть сертификат корневого центра сертификации, экспортированный из другой фермы с помощью Microsoft PowerShell, как описано в разделе Экспорт и копирование сертификатов.

   3. Выполнив эту задачу в ферме публикации, установите флажок Предоставить отношение доверия. Введите описательное имя для поставщика маркеров и выберите сертификат STS, скопированный из фермы использования, как описано в разделе Экспорт и копирование сертификатов.

   4. Нажмите кнопку ОК.

   После установки отношения доверия можно изменить описание поставщика маркеров или используемые сертификаты, щелкнув доверие, а затем выбрав Изменить. Для удаления доверия щелкните его, а затем выберите Удалить.

See also

Планирование методов проверки подлинности для пользователей в SharePoint Server

Создание веб-приложения в SharePoint 2013
Настройка проверки подлинности на основе утверждений SAML с помощью AD FS в SharePoint 2013