在服务器场之间交换信任证书 (SharePoint Foundation 2010)
适用于: SharePoint Foundation 2010
上一次修改主题: 2016-11-30
在 Microsoft SharePoint Foundation 2010 中,SharePoint 场可以连接到和使用在其他 SharePoint Foundation 2010 服务器场上发布的服务应用程序。为此,服务器场必须交换信任证书。
本文介绍如何在发布方服务器场和使用方服务器场之间交换信任证书。请注意,这两个场都必须参与此交换才能让服务应用程序共享生效。
重要
在您开始共享服务应用程序之前,强烈建议您阅读文章跨服务器场共享服务应用程序 (SharePoint Foundation 2010) 和服务体系结构规划 (SharePoint Foundation 2010)。
您必须使用 Windows PowerShell 2.0 命令在服务器场之间导出和复制证书。导出和复制证书后,可以使用 Windows PowerShell 2.0 命令或管理中心来管理服务器场内的信任。
本文中的说明假设以下条件成立:
用于以下过程的服务器正在运行 Windows PowerShell 2.0。
管理员将选择并使用每个服务器场中的相同服务器来执行过程中的所有步骤。
如果用户帐户控制 (UAC) 处于打开状态,则必须以提升的权限运行 Windows PowerShell 2.0 命令。
本文内容:
导出和复制证书
使用 Windows Powershell 管理信任证书
使用管理中心管理信任证书
导出和复制证书
使用方服务器场的管理员必须向发布方服务器场提供两个信任证书:一个根证书和一个安全令牌服务 (STS) 证书。发布方服务器场的管理员必须向使用方服务器场提供一个根证书。
您只能使用 Windows PowerShell 2.0 导出和复制证书。
从使用方服务器场中导出根证书
在使用方服务器场中在运行 SharePoint Foundation 2010 的服务器上验证您是否满足以下最低要求:请参阅 Add-SPShellAdmin。
在“开始”菜单上,单击“管理工具”。
单击“SharePoint 2010 Management Shell”。
在 Windows PowerShell 命令提示符处,键入以下每个命令:
$rootCert = (Get-SPCertificateAuthority).RootCertificate $rootCert.Export("Cert") | Set-Content <C:\ConsumingFarmRoot.cer> -Encoding byte
其中,<C:\ConsumingFarmRoot.cer> 是根证书路径。
从使用方服务器场中导出 STS 证书
在 Windows PowerShell 命令提示符下,键入以下命令:
$stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate $stsCert.Export("Cert") | Set-Content <C:\ConsumingFarmSTS.cer> -Encoding byte
其中,<C:\ConsumingFarmSTS.cer> 是 STS 证书路径。
从发布方服务器场中导出根证书
在发布方服务器场中运行 SharePoint Foundation 2010 的服务器上验证您是否满足以下最低要求:请参阅 Add-SPShellAdmin。
在“开始”菜单上,单击“管理工具”。
单击“SharePoint 2010 Management Shell”。
在 Windows PowerShell 命令提示符下,键入以下命令:
$rootCert = (Get-SPCertificateAuthority).RootCertificate $rootCert.Export("Cert") | Set-Content <C:\PublishingFarmRoot.cer> -Encoding byte
其中,<C:\PublishingFarmRoot.cer> 是根证书路径。
复制证书
将根证书和 STS 证书从使用方服务器场中的服务器复制到发布方服务器场中的服务器。
将根证书从发布方服务器场中的服务器复制到使用方服务器场中的服务器。
使用 Windows Powershell 管理信任证书
在服务器场内管理信任证书需要建立信任。本节介绍如何使用 Windows PowerShell 2.0 命令在使用方服务器场和发布方服务器场上建立信任。
在使用方服务器场上建立信任
若要在使用方服务器场上建立信任,您必须导入从发布方服务器场复制而来的根证书,然后创建一个受信任的根证书颁发机构。
在使用方服务器场上导入根证书和创建受信任的根证书颁发机构
在使用方服务器场中服务器的 Windows PowerShell 命令提示符下,键入以下命令:
$trustCert = Get-PfxCertificate <C:\PublishingFarmRoot.cer> New-SPTrustedRootAuthority <PublishingFarm> -Certificate $trustCert
其中:
<C:\PublishingFarmRoot.cer> 为从发布方服务器场复制到使用方服务器场的根证书的路径。
<PublishingFarm> 为标识发布方服务器场的唯一名称。每个信任根证书颁发机构都必须有唯一的名称。
在发布方服务器场上建立信任
若要在发布方服务器场上建立信任,您必须导入从使用方服务器场复制而来的根证书,然后创建一个受信任的根证书颁发机构。之后,必须导入从使用方服务器场复制而来的 STS 证书,然后创建一个受信任的服务令牌颁发者。
在发布方服务器场上导入根证书和创建受信任的根证书颁发机构
在发布方服务器场中服务器的 Windows PowerShell 命令提示符下,键入以下命令:
$trustCert = Get-PfxCertificate <C:\ConsumingFarmRoot.cer> New-SPTrustedRootAuthority <ConsumingFarm> -Certificate $trustCert
其中:
<C:\ConsumingFarmRoot.cer> 为从使用方服务器场复制到发布方服务器场的根证书的路径。
<ConsumingFarm> 为标识使用方服务器场的唯一名称。每个信任根证书颁发机构都必须有唯一的名称。
在发布方服务器场上导入 STS 证书和创建受信任的服务令牌颁发者
在发布方服务器场中服务器的 Windows PowerShell 命令提示符下,键入以下命令:
$stsCert = Get-PfxCertificate <c:\ConsumingFarmSTS.cer> New-SPTrustedServiceTokenIssuer <ConsumingFarm> -Certificate $stsCert
其中:
<C:\ConsumingFarmSTS.cer> 为从使用方服务器场复制到发布方服务器场的 STS 证书的路径。
<ConsumingFarm> 为标识使用方服务器场的唯一名称。每个信任服务令牌颁发机构都必须有唯一的名称。
有关这些 Windows PowerShell 2.0 cmdlets 的详细信息,请参阅以下文章:
使用管理中心管理信任证书
只有将相关证书导出和复制到服务器场之后,才可以管理服务器场上的信任。
使用管理中心建立信任
确认执行此过程的用户帐户是 SharePoint 组“Farm Administrators”的成员。
在 SharePoint 管理中心网站上,单击“安全性”。
在“安全性”页的“一般安全性”部分,单击“管理信任”。
在“信任关系”页的功能区上,单击“新建”。
在“建立信任关系”页上:
提供描述信任关系的用途的名称。
找到信任关系的根证书颁发机构并选择它。该根证书颁发机构必须是使用 Windows PowerShell 从另一个服务器场导出的根证书颁发机构,如导出和复制证书中所述。
如果您在发布方服务器场上执行此任务,则选中“提供信任关系”复选框。键入令牌颁发者证书的说明性名称,找到从使用方服务器场复制的 STS 证书并选择它,如导出和复制证书所述。
单击“确定”。
建立信任关系后,单击信任,然后单击“编辑”,可以修改令牌颁发者说明或所使用的证书。单击信任然后单击“删除”可删除信任。
See Also
Concepts
配置声明身份验证 (SharePoint Foundation 2010)
配置安全令牌服务 (SharePoint Foundation 2010)