Austauschen von vertrauenswürdigen Zertifikaten zwischen Farmen (SharePoint Foundation 2010)

  • Artikel

 

Gilt für: SharePoint Foundation 2010

Letztes Änderungsdatum des Themas: 2016-11-30

In Microsoft SharePoint Foundation 2010 kann eine SharePoint-Farm eine Verbindung mit einer Dienstanwendung, die in einer anderen SharePoint Foundation 2010-Farm veröffentlicht ist, herstellen und diese verwenden. Dazu müssen die Farmen vertrauenswürdige Zertifikate austauschen.

In diesem Artikel wird beschrieben, wie vertrauenswürdige Zertifikate zwischen der Veröffentlichungsfarm und der Farm, die den Dienst in Anspruch nimmt, ausgetauscht werden. Bei diesem Austausch müssen beide Farmen beteiligt sein, damit die Dienstanwendung gemeinsam genutzt werden kann.

Wichtig

Bevor Sie Dienstanwendungen gemeinsam verwenden, empfiehlt es sich, dass Sie die Artikel Freigeben von Dienstanwendungen über Farmen hinweg (SharePoint Foundation 2010) und Planen der Dienstarchitektur (SharePoint Foundation 2010) aufmerksam durchlesen.

Sie müssen die Zertifikate mithilfe von Windows PowerShell 2,0-Befehlen exportieren und zwischen den Farmen kopieren. Nach dem Exportieren und Kopieren der Zertifikate können Sie die Vertrauensstelllungen innerhalb der Farm entweder mithilfe von Windows PowerShell 2,0-Befehlen oder mithilfe der Zentraladministration verwalten.

In diesen Anleitungen wird von den folgenden Kriterien ausgegangen:

  • Auf den Servern, die für diese Verfahren verwendet werden, wird Windows PowerShell 2,0 ausgeführt.

  • Der Administrator wählt bei allen Vorgangsschritten denselben Server in den Farmen aus bzw. verwendet denselben Server.

  • Wenn die Benutzerkontensteuerung (User Account Control, UAC) aktiviert ist, müssen Sie die Windows PowerShell 2,0-Befehle mit erhöhten Rechten ausführen.

Inhalt dieses Artikels:

Exportieren und Kopieren von Zertifikaten

Ein Administrator der Farm, die den Dienst in Anspruch nimmt, muss der Veröffentlichungsfarm zwei vertrauenswürdige Zertifikate bereitstellen: ein Stammzertifikat und ein Zertifikat des Sicherheitstokendiensts (Security Token Service, STS) . Ein Administrator der Veröffentlichungsfarm muss der Farm, die den Dienst in Anspruch nimmt, ein Stammzertifikat bereitstellen.

Zertifikate können nur mit Windows PowerShell 2,0 exportiert und kopiert werden.

So exportieren Sie das Stammzertifikat aus der Farm, die den Dienst in Anspruch nimmt

  1. Stellen Sie auf einem Server sicher, auf dem SharePoint Foundation 2010 in der Farm, die den Dienst in Anspruch nimmt, ausgeführt wird, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.

  2. Klicken Sie im Startmenü auf Verwaltung.

  3. Klicken Sie auf SharePoint 2010-Verwaltungsshell.

  4. Geben Sie an der Windows PowerShell-Eingabeaufforderung die folgenden Befehle ein:

    $rootCert = (Get-SPCertificateAuthority).RootCertificate

$rootCert.Export("Cert") | Set-Content <C:\ConsumingFarmRoot.cer> -Encoding byte

    Dabei ist <C:\ConsumingFarmRoot.cer> der Pfad des Stammzertifikats.

So exportieren Sie das STS-Zertifikat aus der Farm, die den Dienst in Anspruch nimmt

  1. Geben Sie an der Windows PowerShell-Eingabeaufforderung folgende Befehle ein:

    $stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate

$stsCert.Export("Cert") | Set-Content <C:\ConsumingFarmSTS.cer> -Encoding byte

    Dabei ist <C:\ConsumingFarmSTS.cer> der Pfad des STS-Zertifikats.

So exportieren Sie das Stammzertifikat aus der Veröffentlichungsfarm

  1. Stellen Sie auf einem Server sicher, auf dem SharePoint Foundation 2010 in der Veröffentlichungsfarm ausgeführt wird, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.

  2. Klicken Sie im Startmenü auf Verwaltung.

  3. Klicken Sie auf SharePoint 2010-Verwaltungsshell.

  4. Geben Sie an der Windows PowerShell-Eingabeaufforderung folgende Befehle ein:

    $rootCert = (Get-SPCertificateAuthority).RootCertificate

$rootCert.Export("Cert") | Set-Content <C:\PublishingFarmRoot.cer> -Encoding byte

    Dabei ist <C:\PublishingFarmRoot.cer> der Pfad des Stammzertifikats.

So kopieren Sie die Zertifikate

  1. Kopieren Sie das Stammzertifikat und das STS-Zertifikat vom Server in der Farm, die den Dienst in Anspruch nimmt, auf den Server in der Veröffentlichungsfarm.

  2. Kopieren Sie das Stammzertifikat vom Server in der Veröffentlichungsfarm auf einen Server in der Farm, die den Dienst in Anspruch nimmt.

Verwalten von vertrauenswürdigen Zertifikaten mithilfe von Windows Powershell

Beim Verwalten von vertrauenswürdigen Zertifikaten innerhalb einer Farm muss eine Vertrauensstellung hergestellt werden. In diesem Abschnitt wird beschrieben, wie in der Farm, die den Dienst in Anspruch nimmt, sowie in der Veröffentlichungsfarm mit Windows PowerShell 2,0-Befehlen Vertrauensstellungen hergestellt werden.

Herstellen einer Vertrauensstellung in der Farm, die den Dienst in Anspruch nimmt

Zum Herstellen einer Vertrauensstellung in der Farm, die den Dienst in Anspruch nimmt, müssen Sie das Stammzertifikat, das aus der Veröffentlichungsfarm kopiert wurde, importieren und eine vertrauenswürdige Stammzertifizierungsstelle erstellen.

So importieren Sie das Stammzertifikat und erstellen eine vertrauenswürdige Stammzertifizierungsstelle in der Farm, die den Dienst in Anspruch nimmt

  1. Geben Sie an der Windows PowerShell-Eingabeaufforderung auf einem Server in der Farm, die den Dienst in Anspruch nimmt, die folgenden Befehle ein:

    $trustCert = Get-PfxCertificate <C:\PublishingFarmRoot.cer>

New-SPTrustedRootAuthority <PublishingFarm> -Certificate $trustCert

Dabei gilt:

  • <C:\PublishingFarmRoot.cer> ist der Pfad des Stammzertifikats, das Sie aus der Veröffentlichungsfarm in die Farm kopiert haben, die den Dienst in Anspruch nimmt.

  • <PublishingFarm> ist ein eindeutiger Name, der die Veröffentlichungsfarm angibt. Jede vertrauenswürdige Stammzertifizierungsstelle benötigt einen eindeutigen Namen.

Herstellen einer Vertrauensstellung in der Veröffentlichungsfarm

Zum Herstellen einer Vertrauensstellung in der Veröffentlichungsfarm müssen Sie das Stammzertifikat, das aus der Farm, die den Dienst in Anspruch nimmt, kopiert wurde, importieren und eine vertrauenswürdige Stammzertifizierungsstelle erstellen. Sie müssen dann das STS-Zertifikat importieren, das aus der Farm, die den Dienst in Anspruch nimmt, kopiert wurde und einen vertrauenswürdigen Tokenherausgeber erstellen.

So importieren Sie das Stammzertifikat und erstellen eine vertrauenswürdige Stammzertifizierungsstelle in der Veröffentlichungsfarm

  1. Geben Sie an der Windows PowerShell-Eingabeaufforderung auf einem Server in der Veröffentlichungsfarm die folgenden Befehle ein:

    $trustCert = Get-PfxCertificate <C:\ConsumingFarmRoot.cer>

New-SPTrustedRootAuthority <ConsumingFarm> -Certificate $trustCert

Dabei gilt:

  • <C:\ConsumingFarmRoot.cer> steht für den Namen und das Verzeichnis des Stammzertifikats, das Sie aus der Farm, die den Dienst in Anspruch nimmt, in die Veröffentlichungsfarm kopiert haben.

  • <ConsumingFarm> ist ein eindeutiger Name, der die Farm angibt, die den Dienst in Anspruch nimmt. Jede vertrauenswürdige Stammzertifizierungsstelle benötigt einen eindeutigen Namen.

So importieren Sie das STS-Zertifikat und erstellen einen vertrauenswürdigen Tokenherausgeber in der Veröffentlichungsfarm

  1. Geben Sie an der Windows PowerShell-Eingabeaufforderung auf einem Server in der veröffentlichenden Farm die folgenden Befehle ein:

    $stsCert = Get-PfxCertificate <c:\ConsumingFarmSTS.cer>

New-SPTrustedServiceTokenIssuer <ConsumingFarm> -Certificate $stsCert

Dabei gilt:

  1. <C:\ConsumingFarmSTS.cer> ist der Pfad des STS-Zertifikats, das Sie aus der Farm, die den Dienst in Anspruch nimmt, in die Veröffentlichungsfarm kopiert haben.

  2. <ConsumingFarm> ist ein eindeutiger Name, der die Farm angibt, die den Dienst in Anspruch nimmt. Jeder vertrauenswürdige Tokenherausgeber benötigt einen eindeutigen Namen.

Weitere Informationen zu diesen Windows PowerShell 2,0-Cmdlets finden Sie in den folgenden Artikeln:

Verwalten von vertrauenswürdigen Zertifikaten mithilfe der Zentraladministration

Sie können Vertrauensstellungen für eine Farm erst verwalten, nachdem die entsprechenden Zertifikate exportiert und in die Farm kopiert wurden.

So stellen Sie mithilfe der Zentraladministration eine Vertrauensstellung her

  1. Vergewissern Sie sich, dass das Benutzerkonto, mit dem dieses Verfahren ausgeführt wird, Mitglied der SharePoint-Gruppe Farmadministratoren ist.

  2. Klicken Sie auf der Website der SharePoint-Zentraladministration auf Sicherheit.

  3. Klicken Sie auf der Seite Sicherheit im Abschnitt Allgemeine Sicherheit auf Vertrauensstellung verwalten.

  4. Klicken Sie auf der Seite Vertrauensstellung auf dem Menüband auf Neu.

  5. Führen Sie auf der Seite Vertrauensstellung einrichten Folgendes aus:

    1. Geben Sie einen Namen an, der den Zweck der Vertrauensstellung beschreibt.

    2. Navigieren Sie zum Zertifikat der Stammzertifizierungsstelle für die Vertrauensstellung, und wählen Sie dieses aus. Hierbei muss es sich um das Zertifikat der Stammzertifizierungsstelle handeln, das mit Windows PowerShell aus der anderen Farm kopiert wurde. (Siehe Beschreibung in Exportieren und Kopieren von Zertifikaten.)

    3. Wenn Sie diese Aufgabe in der Veröffentlichungsfarm ausführen, aktivieren Sie das Kontrollkästchen für Vertrauensstellung bereitstellen. Geben Sie einen beschreibenden Namen für den Tokenherausgeber ein, wechseln Sie zu dem STS-Zertifikat, das von der verwendenden Farm kopiert wurde, wie in Exportieren und Kopieren von Zertifikaten beschrieben, und wählen Sie es aus.

    4. Klicken Sie auf OK.

    Nach dem Einrichten einer Vertrauensstellung können Sie die Beschreibung des Tokenherausgebers oder die verwendeten Zertifikate ändern, indem Sie auf die Vertrauensstellung und anschließend auf Bearbeiten klicken. Sie können eine Vertrauensstellung löschen, indem Sie darauf klicken und anschließend Löschen auswählen.

See Also

Concepts

Konfigurieren der Forderungsauthentifizierung (SharePoint Foundation 2010)
Konfigurieren des Sicherheitstokendiensts (SharePoint Foundation 2010)

Other Resources

VERALTET Planen der Forderungsauthentifizierung (SharePoint Foundation 2010)