管理憑證 (FAST Search Server 2010 for SharePoint)
適用版本: FAST Search Server 2010
上次修改主題的時間: 2016-11-29
FAST Search Server 2010 for SharePoint 使用憑證進行驗證及加密。憑證用於多重伺服器 FAST Search Server 2010 for SharePoint 部署中各伺服器之間的通訊,以及 FAST Search Server 2010 for SharePoint 與 Microsoft SharePoint Server 之間的通訊。
FAST Search Server 2010 for SharePoint 部署中的每部伺服器,都可能會有三個提供不同功能的憑證,而且必須分別進行設定及取代:
一般用途 FAST Search 憑證 (用於內部通訊、管理服務以及從 Microsoft SharePoint Server 提供內容)
使用 HTTPS 之查詢流量的伺服器專屬憑證 (僅限在已啟用 HTTPS 查詢流量的查詢伺服器)。
宣告憑證 (僅限在查詢伺服器上)。
請注意,如果滿足列於<一般用途 FAST Search 憑證>下的需求,則前兩個憑證可能會合併為一個憑證。但是,您必須執行特定的設定步驟以取代這兩個憑證 (例如,因到期或撤銷)。
本節內容:
一般用途 FAST Search 憑證
查詢 HTTPS 憑證
宣告憑證
一般用途 FAST Search 憑證
在初始安裝期間,FAST Search Server 2010 for SharePoint 會產生自我簽署憑證。自我簽署憑證的到期日期是從設定時開始算起的「一年」,而且只能用於測試環境。此憑證有數個限制:
因為自我簽署憑證無法撤銷,所以自我簽署憑證的安全性有限。如果洩露了私密金鑰,會讓攻擊者可以假造身分,或將資料插入連線中。
自我簽署憑證無法用以啟用透過 HTTPS 的查詢。
自我簽署憑證無法用以啟用透過 HTTPS 的管理服務。
為有助於達到極高的安全性等級,FAST Search Server 2010 for SharePoint 應使用現有公開金鑰基礎結構 (PKI)。多重伺服器 FAST Search Server 2010 for SharePoint 部署中的每部伺服器,都應該要有一般憑證授權單位 (CA) 發出的不同憑證。
下列需求適用於每部伺服器憑證:
主體名稱或主體別名 (SAN) 欄位必須包含接受發出之憑證的伺服器完整網域名稱 (FQDN)。必須完成此作業,才可支援透過 HTTPS 的查詢以及透過 HTTPS 的管理服務。
發給 Microsoft SharePoint Server 之憑證的發行者,必須與發給 FAST Search Server 2010 for SharePoint 部署中伺服器的憑證相同。
FAST Search Server 2010 for SharePoint 使用者必須可以存取憑證的私密金鑰。
FAST Search Server 2010 for SharePoint 發佈包括必須在部署中每部伺服器上執行的 Windows PowerShell 指令碼,以取代預設的自我簽署憑證。該指令碼可以執行兩項不同的工作:
建立一年到期的新自我簽署憑證,以及設定 FAST Search Server 2010 for SharePoint 使用新的憑證。請參閱<將自我簽署憑證以新的自我簽署憑證取代>。
設定 FAST Search Server 2010 for SharePoint,透過將指紋提供給已安裝的憑證,以使用憑證授權單位 (CA) 所簽署的現有憑證。請參閱<將自我簽署憑證以憑證授權單位 (CA) 所簽署的憑證取代>。
將自我簽署憑證以新的自我簽署憑證取代
若要將預設的自我簽署憑證以新的自我簽署憑證加以取代,請進行下列步驟:
停止伺服器陣列中所有伺服器上的 FAST Search Server 2010 for SharePoint,包括監視服務。
在管理伺服器上,進行下列步驟:
在 [開始] 功能表上,按一下 [所有程式]。
按一下 [Microsoft FAST Search Server 2010 for SharePoint]。
在 [SharePoint 2010 管理命令介面] 上按一下滑鼠右鍵,並選取 [以系統管理員身分執行]。
在命令提示字元處,瀏覽至安裝資料夾下的 installer\scripts。
輸入下列命令:
.\ReplaceDefaultCertificate.ps1 -generateNewCertificate $true
輸入憑證的密碼。
在管理伺服器上,啟動 FAST Search Server 2010 for SharePoint。
在每部非管理伺服器上,進行下列步驟:
在 [開始] 功能表上,按一下 [所有程式]。
按一下 [Microsoft FAST Search Server 2010 for SharePoint]
在 [SharePoint 2010 管理命令介面] 上按一下滑鼠右鍵,並選取 [以系統管理員身分執行]。
在命令提示字元處,瀏覽至安裝資料夾下的 installer\scripts。
輸入下列命令:
.\ReplaceDefaultCertificate.ps1 -generateNewCertificate $true
輸入針對管理伺服器上憑證所定義的密碼。
在所有非管理伺服器上,啟動 FAST Search Server 2010 for SharePoint。
新的自我簽署憑證的到期日期是一年。
如果 FAST Search Server 2010 for SharePoint 已新增為 Microsoft SharePoint Server 的後端,則您也必須重做<建立和設定內容 Search Service 應用程式 (FAST Search Server 2010 for SharePoint)>下<設定具備 SSL 功能的通訊>中的憑證步驟。
將自我簽署憑證取代為憑證授權單位 (CA) 所簽署的憑證
若要將預設的自我簽署憑證取代為憑證授權單位 (CA) 所簽署的憑證,請進行下列步驟:
停止伺服器陣列中所有伺服器上的 FAST Search Server 2010 for SharePoint,包括監視服務。
在 FAST Search Server 2010 for SharePoint 伺服器陣列中的每部伺服器上:
確定已正確安裝新的憑證,且 FAST Search Server 2010 for SharePoint 使用者可以存取憑證的私密金鑰。
憑證必須安裝在 Certificates(Local Computer)\Personal 下的憑證存放區中。
憑證的 CA 憑證必須安裝在 Certificates(Local Computer)\Trusted Root Certification Authorities 下。
在管理伺服器上,進行下列步驟:
在 [開始] 功能表上,按一下 [所有程式]。
按一下 [Microsoft FAST Search Server 2010 for SharePoint],然後按一下 [Microsoft FAST Search Server 2010 for SharePoint 命令介面]。
在命令提示字元處,瀏覽至安裝資料夾下的 installer\scripts。
輸入下列命令:
.\ReplaceDefaultCertificate.ps1 -thumbprint "certificate thumbprint"
您可以開啟本機伺服器上的憑證存放區並尋找憑證,以決定憑證指紋。
在管理伺服器上,啟動 FAST Search Server 2010 for SharePoint。
在每部非管理伺服器上,進行下列步驟:
在 [開始] 功能表上,按一下 [所有程式]。
按一下 [Microsoft FAST Search Server 2010 for SharePoint],然後按一下 [Microsoft FAST Search Server 2010 for SharePoint 命令介面]。
在命令提示字元處,瀏覽至安裝資料夾下的 installer\scripts。
輸入下列命令:
.\ReplaceDefaultCertificate.ps1 -thumbprint "certificate thumbprint"
您可以開啟本機伺服器上的憑證存放區並尋找憑證,以決定憑證指紋。
在所有非管理伺服器上,啟動 FAST Search Server 2010 for SharePoint。
執行「內容 SSA」的 Microsoft SharePoint Server 也需要相同 CA 所簽署的憑證,才可將文件提供給 FAST Search Server 2010 for SharePoint:
將憑證安裝至 Microsoft SharePoint Server 的 Certificates(Local Computer)\Personal 下的憑證存放區。憑證的 CA 憑證必須安裝在 Certificates(Local Computer)\Trusted Root Certification Authorities 下。接下來的步驟有助於設定憑證的正確權限。
將指令碼 SecureFASTSearchConnector.ps1 從 FAST Search Server 2010 for SharePoint 管理伺服器複製至執行 FAST Search 連接器的 SharePoint Server 2010 伺服器。SecureFASTSearchConnector.ps1 指令碼位於安裝資料夾的 \installer\scripts\ 下。
在執行 FAST Search 連接器的 SharePoint Server 2010 伺服器上,進行下列步驟:
在 [開始] 功能表上,按一下 [所有程式]。
按一下 [Microsoft SharePoint 2010 產品]。
在 [SharePoint 2010 管理命令介面] 上按一下滑鼠右鍵,並選取 [以系統管理員身分執行]。
瀏覽至您複製並執行 SecureFASTSearchConnector.ps1 指令碼的目錄,將必要參數取代為適用於您環境的值。網域及使用者名稱應反映執行 SharePoint Server Search 14 (OSearch14) 服務之使用者的詳細資料:
如果您知道憑證的指紋,請輸入下列命令:
.\SecureFASTSearchConnector.ps1 -certThumbprint "certificate thumbprint" -ssaName "name of your content SSA" -username "domain\username"
如果您不知道憑證的指紋,請輸入下列命令:
.\SecureFASTSearchConnector.ps1 -ssaName "name of your content SSA" -username "domain\username"
此命令會傳回可用憑證的指紋,並出現提示詢問您是否要使用建議的憑證。
輸入 y 表示「是」,然後按一下 Enter 鍵。
查詢 HTTPS 憑證
查詢 HTTPS 憑證可用以加密查詢流量。如需初始設定,請參閱<啟用 HTTPS (選用)>。
取代查詢 HTTPS 憑證
若要取代查詢 HTTPS 憑證,請在每部 FAST Search Server 2010 for SharePoint 查詢伺服器上進行下列步驟:
將新伺服器專屬的 SSL 憑證匯入憑證存放區。憑證必須儲存在 Certificates(Local Computer)\Personal 下。請為憑證授與 FASTSearchAdministrators 群組的完整存取權。
從基本連接埠 + 286 刪除先前的憑證繫結:
在 [開始] 功能表上,按一下 [所有程式]。
按一下 [Microsoft FAST Search Server 2010 for SharePoint]。
在 [Microsoft FAST Search Server 2010 for SharePoint 命令介面] 上按一下滑鼠右鍵,並選取 [以系統管理員身分執行]。
在 Windows PowerShell 命令提示字元處,輸入下列命令:
netsh http delete sslcert ipport=0.0.0.0:<baseport+286>
其中:
- <基本連接埠 + 286> 是實際的連接埠號碼。
設定查詢伺服器,以在基本連接埠 + 286 上使用新的憑證:
在 Windows PowerShell 命令提示字元處,輸入下列命令:
netsh http add sslcert ipport=0.0.0.0:<baseport+286> appid={a5455c78-6489-4e13-b395-47fbdee0e7e6} certhash=<Cert_Thumprint>
其中:
<憑證指紋> 是新憑證的指紋。
<基本連接埠 + 286> 是實際的連接埠號碼。
此外,如果簽署新憑證的憑證授權單位 (CA) 與前一個憑證不同,則您必須將 CA 憑證新增至 Microsoft SharePoint Server:
在 Microsoft SharePoint Server 上:
在 Microsoft SharePoint Server 中針對為每部 FAST Search Server 2010 for SharePoint 查詢伺服器所建立的 SSL 憑證,啟用信任關係。做法是將 SSL 憑證的簽署授權單位之公用憑證,匯入 Microsoft SharePoint Server:
在 [開始] 功能表上,按一下 [所有程式]。
按一下 [Microsoft SharePoint 2010 產品]。
在 [SharePoint 2010 管理命令介面] 上按一下滑鼠右鍵,並選取 [以系統管理員身分執行]。
在命令提示字元處輸入下列命令:
$trustCert = Get-PfxCertificate '<SSL_CA_Public_Cert>.cert' New-SPTrustedRootAuthority "FASTSearchHostQuerySSLCert" -Certificate $trustCert
其中:
- <SSL CA 公用憑證> 是來自 SSL 憑證之簽署授權單位的憑證名稱
宣告憑證
宣告憑證提供宣告式驗證。若要取代此憑證,請重複<建立 FAST Search 中心網站 (FAST Search Server 2010 for SharePoint)>下所列的步驟。