共用方式為

管理憑證 (FAST Search Server 2010 for SharePoint)

  • 發行項

 

適用版本: FAST Search Server 2010

上次修改主題的時間: 2016-11-29

FAST Search Server 2010 for SharePoint 使用憑證進行驗證及加密。憑證用於多重伺服器 FAST Search Server 2010 for SharePoint 部署中各伺服器之間的通訊,以及 FAST Search Server 2010 for SharePoint 與 Microsoft SharePoint Server 之間的通訊。

FAST Search Server 2010 for SharePoint 部署中的每部伺服器,都可能會有三個提供不同功能的憑證,而且必須分別進行設定及取代:

  • 一般用途 FAST Search 憑證 (用於內部通訊、管理服務以及從 Microsoft SharePoint Server 提供內容)

  • 使用 HTTPS 之查詢流量的伺服器專屬憑證 (僅限在已啟用 HTTPS 查詢流量的查詢伺服器)。

  • 宣告憑證 (僅限在查詢伺服器上)。

請注意,如果滿足列於<一般用途 FAST Search 憑證>下的需求,則前兩個憑證可能會合併為一個憑證。但是,您必須執行特定的設定步驟以取代這兩個憑證 (例如,因到期或撤銷)。

本節內容:

  • 一般用途 FAST Search 憑證

  • 查詢 HTTPS 憑證

  • 宣告憑證

一般用途 FAST Search 憑證

在初始安裝期間,FAST Search Server 2010 for SharePoint 會產生自我簽署憑證。自我簽署憑證的到期日期是從設定時開始算起的「一年」,而且只能用於測試環境。此憑證有數個限制:

  • 因為自我簽署憑證無法撤銷,所以自我簽署憑證的安全性有限。如果洩露了私密金鑰,會讓攻擊者可以假造身分,或將資料插入連線中。

  • 自我簽署憑證無法用以啟用透過 HTTPS 的查詢。

  • 自我簽署憑證無法用以啟用透過 HTTPS 的管理服務。

為有助於達到極高的安全性等級,FAST Search Server 2010 for SharePoint 應使用現有公開金鑰基礎結構 (PKI)。多重伺服器 FAST Search Server 2010 for SharePoint 部署中的每部伺服器,都應該要有一般憑證授權單位 (CA) 發出的不同憑證。

下列需求適用於每部伺服器憑證:

  • 主體名稱或主體別名 (SAN) 欄位必須包含接受發出之憑證的伺服器完整網域名稱 (FQDN)。必須完成此作業,才可支援透過 HTTPS 的查詢以及透過 HTTPS 的管理服務。

  • 發給 Microsoft SharePoint Server 之憑證的發行者,必須與發給 FAST Search Server 2010 for SharePoint 部署中伺服器的憑證相同。

  • FAST Search Server 2010 for SharePoint 使用者必須可以存取憑證的私密金鑰。

FAST Search Server 2010 for SharePoint 發佈包括必須在部署中每部伺服器上執行的 Windows PowerShell 指令碼,以取代預設的自我簽署憑證。該指令碼可以執行兩項不同的工作:

  • 建立一年到期的新自我簽署憑證,以及設定 FAST Search Server 2010 for SharePoint 使用新的憑證。請參閱<將自我簽署憑證以新的自我簽署憑證取代>。

  • 設定 FAST Search Server 2010 for SharePoint,透過將指紋提供給已安裝的憑證,以使用憑證授權單位 (CA) 所簽署的現有憑證。請參閱<將自我簽署憑證以憑證授權單位 (CA) 所簽署的憑證取代>。

將自我簽署憑證以新的自我簽署憑證取代

若要將預設的自我簽署憑證以新的自我簽署憑證加以取代,請進行下列步驟:

  1. 停止伺服器陣列中所有伺服器上的 FAST Search Server 2010 for SharePoint,包括監視服務。

  2. 在管理伺服器上,進行下列步驟:

    1. 在 [開始] 功能表上,按一下 [所有程式]。

    2. 按一下 [Microsoft FAST Search Server 2010 for SharePoint]。

    3. 在 [SharePoint 2010 管理命令介面] 上按一下滑鼠右鍵,並選取 [以系統管理員身分執行]。

    4. 在命令提示字元處,瀏覽至安裝資料夾下的 installer\scripts

    5. 輸入下列命令:

      .\ReplaceDefaultCertificate.ps1 -generateNewCertificate $true

    6. 輸入憑證的密碼。

  3. 在管理伺服器上,啟動 FAST Search Server 2010 for SharePoint。

  4. 在每部非管理伺服器上,進行下列步驟:

    1. 在 [開始] 功能表上,按一下 [所有程式]。

    2. 按一下 [Microsoft FAST Search Server 2010 for SharePoint]

    3. 在 [SharePoint 2010 管理命令介面] 上按一下滑鼠右鍵,並選取 [以系統管理員身分執行]。

    4. 在命令提示字元處,瀏覽至安裝資料夾下的 installer\scripts

    5. 輸入下列命令:

      .\ReplaceDefaultCertificate.ps1 -generateNewCertificate $true

    6. 輸入針對管理伺服器上憑證所定義的密碼。

  5. 在所有非管理伺服器上,啟動 FAST Search Server 2010 for SharePoint。

新的自我簽署憑證的到期日期是一年。

如果 FAST Search Server 2010 for SharePoint 已新增為 Microsoft SharePoint Server 的後端,則您也必須重做<建立和設定內容 Search Service 應用程式 (FAST Search Server 2010 for SharePoint)>下<設定具備 SSL 功能的通訊>中的憑證步驟。

將自我簽署憑證取代為憑證授權單位 (CA) 所簽署的憑證

若要將預設的自我簽署憑證取代為憑證授權單位 (CA) 所簽署的憑證,請進行下列步驟:

  1. 停止伺服器陣列中所有伺服器上的 FAST Search Server 2010 for SharePoint,包括監視服務。

  2. 在 FAST Search Server 2010 for SharePoint 伺服器陣列中的每部伺服器上:

    • 確定已正確安裝新的憑證,且 FAST Search Server 2010 for SharePoint 使用者可以存取憑證的私密金鑰。

      憑證必須安裝在 Certificates(Local Computer)\Personal 下的憑證存放區中。

      憑證的 CA 憑證必須安裝在 Certificates(Local Computer)\Trusted Root Certification Authorities 下。

  3. 在管理伺服器上,進行下列步驟:

    1. 在 [開始] 功能表上,按一下 [所有程式]。

    2. 按一下 [Microsoft FAST Search Server 2010 for SharePoint],然後按一下 [Microsoft FAST Search Server 2010 for SharePoint 命令介面]。

    3. 在命令提示字元處,瀏覽至安裝資料夾下的 installer\scripts

    4. 輸入下列命令:

      .\ReplaceDefaultCertificate.ps1 -thumbprint "certificate thumbprint"

      您可以開啟本機伺服器上的憑證存放區並尋找憑證,以決定憑證指紋。

  4. 在管理伺服器上,啟動 FAST Search Server 2010 for SharePoint。

  5. 在每部非管理伺服器上,進行下列步驟:

    1. 在 [開始] 功能表上,按一下 [所有程式]。

    2. 按一下 [Microsoft FAST Search Server 2010 for SharePoint],然後按一下 [Microsoft FAST Search Server 2010 for SharePoint 命令介面]。

    3. 在命令提示字元處,瀏覽至安裝資料夾下的 installer\scripts

    4. 輸入下列命令:

      .\ReplaceDefaultCertificate.ps1 -thumbprint "certificate thumbprint"

      您可以開啟本機伺服器上的憑證存放區並尋找憑證,以決定憑證指紋。

  6. 在所有非管理伺服器上,啟動 FAST Search Server 2010 for SharePoint。

執行「內容 SSA」的 Microsoft SharePoint Server 也需要相同 CA 所簽署的憑證,才可將文件提供給 FAST Search Server 2010 for SharePoint:

  1. 將憑證安裝至 Microsoft SharePoint Server 的 Certificates(Local Computer)\Personal 下的憑證存放區。憑證的 CA 憑證必須安裝在 Certificates(Local Computer)\Trusted Root Certification Authorities 下。接下來的步驟有助於設定憑證的正確權限。

  2. 將指令碼 SecureFASTSearchConnector.ps1 從 FAST Search Server 2010 for SharePoint 管理伺服器複製至執行 FAST Search 連接器的 SharePoint Server 2010 伺服器。SecureFASTSearchConnector.ps1 指令碼位於安裝資料夾的 \installer\scripts\ 下。

  3. 在執行 FAST Search 連接器的 SharePoint Server 2010 伺服器上,進行下列步驟:

    1. 在 [開始] 功能表上,按一下 [所有程式]。

    2. 按一下 [Microsoft SharePoint 2010 產品]。

    3. 在 [SharePoint 2010 管理命令介面] 上按一下滑鼠右鍵,並選取 [以系統管理員身分執行]。

    4. 瀏覽至您複製並執行 SecureFASTSearchConnector.ps1 指令碼的目錄,將必要參數取代為適用於您環境的值。網域及使用者名稱應反映執行 SharePoint Server Search 14 (OSearch14) 服務之使用者的詳細資料:

      • 如果您知道憑證的指紋,請輸入下列命令:

        .\SecureFASTSearchConnector.ps1 -certThumbprint "certificate thumbprint" -ssaName "name of your content SSA" -username "domain\username"

      • 如果您不知道憑證的指紋,請輸入下列命令:

        .\SecureFASTSearchConnector.ps1 -ssaName "name of your content SSA" -username "domain\username"

        此命令會傳回可用憑證的指紋,並出現提示詢問您是否要使用建議的憑證。

        輸入 y 表示「是」,然後按一下 Enter 鍵。

查詢 HTTPS 憑證

查詢 HTTPS 憑證可用以加密查詢流量。如需初始設定,請參閱<啟用 HTTPS (選用)>。

取代查詢 HTTPS 憑證

若要取代查詢 HTTPS 憑證,請在每部 FAST Search Server 2010 for SharePoint 查詢伺服器上進行下列步驟:

  1. 將新伺服器專屬的 SSL 憑證匯入憑證存放區。憑證必須儲存在 Certificates(Local Computer)\Personal 下。請為憑證授與 FASTSearchAdministrators 群組的完整存取權。

  2. 從基本連接埠 + 286 刪除先前的憑證繫結:

    1. 在 [開始] 功能表上,按一下 [所有程式]。

    2. 按一下 [Microsoft FAST Search Server 2010 for SharePoint]。

    3. 在 [Microsoft FAST Search Server 2010 for SharePoint 命令介面] 上按一下滑鼠右鍵,並選取 [以系統管理員身分執行]。

    4. 在 Windows PowerShell 命令提示字元處,輸入下列命令:

      netsh http delete sslcert ipport=0.0.0.0:<baseport+286>

      其中:

      • <基本連接埠 + 286> 是實際的連接埠號碼。

  3. 設定查詢伺服器,以在基本連接埠 + 286 上使用新的憑證:

    1. 在 Windows PowerShell 命令提示字元處,輸入下列命令:

      netsh http add sslcert ipport=0.0.0.0:<baseport+286>  appid={a5455c78-6489-4e13-b395-47fbdee0e7e6} certhash=<Cert_Thumprint>

      其中:

      • <憑證指紋> 是新憑證的指紋。

      • <基本連接埠 + 286> 是實際的連接埠號碼。

此外,如果簽署新憑證的憑證授權單位 (CA) 與前一個憑證不同,則您必須將 CA 憑證新增至 Microsoft SharePoint Server:

在 Microsoft SharePoint Server 上:

  1. 在 Microsoft SharePoint Server 中針對為每部 FAST Search Server 2010 for SharePoint 查詢伺服器所建立的 SSL 憑證,啟用信任關係。做法是將 SSL 憑證的簽署授權單位之公用憑證,匯入 Microsoft SharePoint Server:

    1. 在 [開始] 功能表上,按一下 [所有程式]。

    2. 按一下 [Microsoft SharePoint 2010 產品]。

    3. 在 [SharePoint 2010 管理命令介面] 上按一下滑鼠右鍵,並選取 [以系統管理員身分執行]。

    4. 在命令提示字元處輸入下列命令:

      $trustCert = Get-PfxCertificate '<SSL_CA_Public_Cert>.cert'
New-SPTrustedRootAuthority "FASTSearchHostQuerySSLCert" -Certificate $trustCert

      其中:

      • <SSL CA 公用憑證> 是來自 SSL 憑證之簽署授權單位的憑證名稱

宣告憑證

宣告憑證提供宣告式驗證。若要取代此憑證,請重複<建立 FAST Search 中心網站 (FAST Search Server 2010 for SharePoint)>下所列的步驟。