Обмен сертификатами доверия между фермами в SharePoint Server

ОБЛАСТЬ ПРИМЕНЕНИЯ:2013 2016 2019 Subscription Edition SharePoint в Microsoft 365

В SharePoint Server ферма может подключиться к приложению службы, опубликованному в другой ферме SharePoint Server, и использовать это приложение. Для этого фермы должны обменяться сертификатами доверия.

Для использования общего доступа к приложению-службе в этом обмене должны участвовать обе фермы.

Дополнительные сведения о предоставлении общего доступа к приложениям-службам для нескольких ферм см. в статье Совместное использование приложений службы в разных фермах SharePoint Server.

Для экспорта и копирования сертификатов между фермами необходимо использовать команды Microsoft PowerShell. После экспорта и копирования сертификатов можно использовать либо команды PowerShell, либо Центр администрирования, для управления отношениями доверия внутри фермы.

Приведенные инструкции предполагают выполнение следующих условий.

• На серверах, используемых для этой процедуры, выполняется PowerShell.
• Администратор выберет в каждой ферме и будет использовать для всех этапов этого процесса один и тот же сервер.
• Если включен контроль учетных записей, команды PowerShell необходимо выполнять с повышенным уровнем привилегий.

Прежде чем приступать к этой операции, ознакомьтесь со статьей Совместный доступ к приложениям-службам в разных фермах в SharePoint Server, где представлены сведения о предварительных требованиях.

Экспорт и копирование сертификатов

Администратор фермы использования должен предоставить ферме публикации два сертификата доверия: корневой сертификат и сертификат службы маркеров безопасности (STS). Администратор фермы публикации должен предоставить ферме использования корневой сертификат.

Экспорт и копирование сертификатов возможны только с помощью Windows PowerShell 3.0.

Экспорт корневого сертификата из фермы использования

1. На сервере с SharePoint Server в потребляющей ферме убедитесь, что являетесь участником следующих ролей и групп:

   • Предопределенная роль сервера securityadmin для экземпляра SQL Server.
   • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.
   • Группа администраторов для сервера, на котором выполняются командлеты PowerShell.
   • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

   С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

   Примечание.

   При отсутствии разрешений обратитесь к своему администратору программы установки или администратору SQL Server за разрешениями. Дополнительные сведения о разрешениях PowerShell см. в статье Add-SPShellAdmin.

2. В командной консоли SharePoint выполните следующие команды:

   $CFrootCert = (Get-SPCertificateAuthority).RootCertificate
   
   [System.IO.File]::WriteAllBytes('C:\ConsumingFarmRoot.cer', $CFrootCert.Export("Cert"))
   

   Где C:\ConsumingFarmRoot.cer — путь к корневому сертификату.

Экспорт сертификата STS из фермы использования

1. Убедитесь, что вы являетесь участником следующих групп:

   • Предопределенная роль сервера securityadmin для экземпляра SQL Server.
   • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.
   • Группа администраторов для сервера, на котором выполняются командлеты PowerShell.
   • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

   С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

   Примечание.

   При отсутствии разрешений обратитесь к своему администратору программы установки или администратору SQL Server за разрешениями. Дополнительные сведения о разрешениях PowerShell см. в статье Add-SPShellAdmin.

2. В командной консоли SharePoint выполните следующие команды:

   $stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate
   
   [System.IO.File]::WriteAllBytes('C:\ConsumingFarmSTS.cer', $stsCert.Export("Cert"))
   

   Где C:\ConsumingFarmSTS.cer — путь к сертификату STS.

Экспорт корневого сертификата из фермы публикации

1. На сервере с SharePoint Server в ферме публикации убедитесь, что являетесь участником следующих ролей и групп:

   • Предопределенная роль сервера securityadmin для экземпляра SQL Server.
   • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.
   • Группа администраторов для сервера, на котором выполняются командлеты PowerShell.
   • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

   С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

   Примечание.

   При отсутствии разрешений обратитесь к своему администратору программы установки или администратору SQL Server за разрешениями. Дополнительные сведения о разрешениях PowerShell см. в статье Add-SPShellAdmin.

2. В командной консоли SharePoint выполните следующие команды:

   $PFrootCert = (Get-SPCertificateAuthority).RootCertificate
   
   [System.IO.File]::WriteAllBytes('C:\PublishingFarmRoot.cer', $PFrootCert.Export("Cert"))
   

   Где C:\PublishingFarmRoot.cer — путь к корневому сертификату.

Копирование сертификатов

1. Скопируйте корневой сертификат и сертификат STS с сервера фермы использования на сервер фермы публикации.
2. Скопируйте корневой сертификат с сервера фермы публикации на сервер фермы использования.

Управление сертификатами доверия с помощью PowerShell

Управление сертификатами доверия включает установку отношений доверия. В этом разделе описывается, как установить отношения доверия в обеих фермах, использования и публикации, с помощью команд PowerShell.

Создание отношения доверия в ферме использования

Чтобы создать отношение доверия в ферме использования, необходимо импортировать корневой сертификат, скопированный из фермы публикации, и создать доверенный корневой центр.

Импорт корневого сертификата и создание доверенного корневого центра в ферме использования

1. Убедитесь, что вы являетесь участником следующих групп:

   • Предопределенная роль сервера securityadmin для экземпляра SQL Server.
   • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.
   • Группа администраторов для сервера, на котором выполняются командлеты PowerShell.
   • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

   С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

   Примечание.

   При отсутствии разрешений обратитесь к своему администратору программы установки или администратору SQL Server за разрешениями. Дополнительные сведения о разрешениях PowerShell см. в статье Add-SPShellAdmin.

2. В командной консоли SharePoint выполните следующие команды:

   $trustCert = Get-PfxCertificate "<C:\PublishingFarmRoot.cer>"
   
   New-SPTrustedRootAuthority "<PublishingFarm>" -Certificate $trustCert
   

   Где:

   • <C:\PublishingFarmRoot.cer> это путь к корневому сертификату, скопированному в ферму использования из фермы публикации.
   • <PublishingFarm> — это уникальное имя, определяющее ферму публикации. Имя каждого доверенного корневого центра должно быть уникальным.

Установка отношения доверия для фермы публикации

Чтобы создать отношение доверия на ферме публикации, необходимо импортировать корневой сертификат, скопированный из фермы использования, и создать доверенный корневой центр. Затем необходимо импортировать сертификат STS, скопированный из фермы использования, и создать надежный поставщик маркеров служб.

Импорт корневого сертификата и создание доверенного корневого центра в ферме публикации

1. Убедитесь, что вы являетесь участником следующих групп:

   • Предопределенная роль сервера securityadmin для экземпляра SQL Server.
   • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.
   • Группа администраторов для сервера, на котором выполняются командлеты PowerShell.
   • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

   С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

   Примечание.

   При отсутствии разрешений обратитесь к своему администратору программы установки или администратору SQL Server за разрешениями. Дополнительные сведения о разрешениях PowerShell см. в статье Add-SPShellAdmin.

2. В командной консоли SharePoint выполните следующие команды:

   $trustCert = Get-PfxCertificate "<C:\ConsumingFarmRoot.cer>"
   
   New-SPTrustedRootAuthority "<ConsumingFarm>" -Certificate $trustCert
   

   Где:

   • <C:\ConsumingFarmRoot.cer> это имя и местоположение корневого сертификата, скопированного в ферму публикации из фермы использования.
   • <ConsumingFarm> — это уникальное имя, определяющее ферму использования. Имя каждого доверенного корневого центра должно быть уникальным.

Импорт сертификата STS и создание надежного поставщика маркеров служб в ферме публикации

1. Убедитесь, что у вас есть разрешения для таких групп и ролей:

   • Предопределенная роль сервера securityadmin для экземпляра SQL Server.
   • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.
   • Группа администраторов для сервера, на котором выполняются командлеты PowerShell.
   • Добавьте участие в группах, необходимое помимо приведенных выше минимальных требований.

   С помощью командлета Add-SPShellAdmin администратор может предоставлять разрешения на использование командлетов SharePoint Server.

   Примечание.

   При отсутствии разрешений обратитесь к своему администратору программы установки или администратору SQL Server за разрешениями. Дополнительные сведения о разрешениях PowerShell см. в статье Add-SPShellAdmin.

2. В командной консоли SharePoint выполните следующие команды:

   $stsCert = Get-PfxCertificate "<c:\ConsumingFarmSTS.cer>"
   
   New-SPTrustedServiceTokenIssuer "<ConsumingFarm>" -Certificate $stsCert
   

   Где:

   • <C:\ConsumingFarmSTS.cer> это путь к сертификату STS, скопированному в ферму публикации из фермы использования.
   • <ConsumingFarm> — это уникальное имя, определяющее ферму использования. Имя каждого надежного поставщика маркеров служб должно быть уникальным.

Дополнительные сведения об этих командлетах PowerShell см. в следующих статьях:

• Get-SPCertificateAuthority
• Get-SPSecurityTokenServiceConfig
• New-SPTrustedRootAuthority
• New-SPTrustedServiceTokenIssuer
• Get-PfxCertificate

Сведения об использовании скрипта для автоматизации части этого процесса см. в статье Обмен сертификатами доверия между фермами.

Управление сертификатами доверия с помощью центра администрирования

Управлять отношениями доверия для фермы можно только после экспорта и копирования в ферму соответствующих сертификатов.

Установка отношения доверия с помощью центра администрирования

1. Убедитесь, что учетная запись пользователя, с помощью которой выполняется данная процедура, является участником группы администраторов фермы SharePoint.

2. В Веб-сайт центра администрирования SharePoint щелкните Безопасность.

3. На странице "Безопасность" в разделе Общая безопасность выберите Управление доверительными отношениями.

4. На странице "Отношения доверия" нажмите на ленте кнопку Создать.

5. На странице "Установить отношение доверия" сделайте следующее:

   • Введите имя, описывающее назначение отношения доверия.

   • Выберите сертификат корневого центра сертификации для отношения доверия. Это должен быть сертификат корневого центра сертификации, экспортированный из другой фермы с помощью Microsoft PowerShell, как описано в разделе Экспорт и копирование сертификатов.

   • Выполнив эту задачу в ферме публикации, установите флажок Предоставить отношение доверия. Введите описательное имя для поставщика маркеров и выберите сертификат STS, скопированный из фермы использования, как описано в разделе Экспорт и копирование сертификатов.

   • Нажмите кнопку ОК.

   После установки отношения доверия можно изменить описание поставщика маркеров или используемые сертификаты, щелкнув доверие, а затем выбрав Изменить. Для удаления доверия щелкните его, а затем выберите Удалить.

См. также

Понятия

Планирование методов проверки подлинности для пользователей в SharePoint Server

Другие ресурсы

Создание веб-приложения в SharePoint Server

Настройка проверки подлинности на основе утверждений SAML с помощью AD FS в SharePoint Server