Austauschen von vertrauenswürdigen Zertifikaten zwischen Farmen (SharePoint Server 2010)

Gilt für: SharePoint Foundation 2010, SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2016-11-30

In Microsoft SharePoint Server 2010 kann eine SharePoint-Farm eine Verbindung mit einer Dienstanwendung herstellen und diese verwenden, obwohl diese in einer anderen SharePoint Server 2010-Farm veröffentlicht wird. Dazu müssen die Farmen vertrauenswürdige Zertifikate austauschen.

In diesem Artikel wird beschrieben, wie vertrauenswürdige Zertifikate zwischen der Veröffentlichungsfarm und der Farm, die den Dienst in Anspruch nimmt, ausgetauscht werden. Bei diesem Austausch müssen beide Farmen beteiligt sein, damit die Dienstanwendung gemeinsam genutzt werden kann.

Sie müssen Windows PowerShell 2,0-Befehle zum Exportieren und Kopieren der Zertifikate zwischen Farmen verwenden. Nachdem die Zertifikate exportiert und kopiert wurden, können Sie entweder Windows PowerShell 2,0-Befehle oder die Zentraladministration zum Verwalten der Vertrauensstellungen innerhalb der Farm verwenden.

In diesen Anleitungen wird von den folgenden Kriterien ausgegangen:

• Auf den Servern, die für diese Verfahren verwendet werden, wird Windows PowerShell 2,0 ausgeführt.

• Der Administrator wählt bei allen Vorgangsschritten denselben Server in den Farmen aus bzw. verwendet denselben Server.

• Wenn die Benutzerkontensteuerung (User Account Control, UAC) aktiviert ist, müssen Sie die Windows PowerShell 2,0-Befehle mit erhöhten Rechten ausführen.

Inhalt dieses Artikels:

• Exportieren und Kopieren von Zertifikaten

• Verwalten von vertrauenswürdigen Zertifikaten mithilfe von Windows Powershell

• Verwalten von vertrauenswürdigen Zertifikaten mithilfe der Zentraladministration

Exportieren und Kopieren von Zertifikaten

Ein Administrator der Farm, die den Dienst in Anspruch nimmt, muss der Veröffentlichungsfarm zwei vertrauenswürdige Zertifikate bereitstellen: ein Stammzertifikat und ein Zertifikat des Sicherheitstokendiensts (Security Token Service, STS). Ein Administrator der Veröffentlichungsfarm muss der Farm, die den Dienst in Anspruch nimmt, ein Stammzertifikat bereitstellen.

Zertifikate können nur mit Windows PowerShell 2,0 exportiert und kopiert werden.

So exportieren Sie das Stammzertifikat aus der Farm, die den Dienst in Anspruch nimmt

1. Stellen Sie auf einem Server, auf dem SharePoint Server 2010 in der Farm, die den Dienst in Anspruch nimmt, ausgeführt wird, sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.

2. Klicken Sie im Startmenü auf Verwaltung.

3. Klicken Sie auf SharePoint 2010-Verwaltungsshell.

4. Geben Sie an der Windows PowerShell-Eingabeaufforderung die folgenden Befehle ein:

   $rootCert = (Get-SPCertificateAuthority).RootCertificate
   
   $rootCert.Export("Cert") | Set-Content <C:\ConsumingFarmRoot.cer> -Encoding byte
   

   Wobei <C:\ConsumingFarmRoot.cer> der Pfad des Stammzertifikats ist.

So exportieren Sie das STS-Zertifikat aus der Farm, die den Dienst in Anspruch nimmt

1. Geben Sie an der Windows PowerShell-Eingabeaufforderung die folgenden Befehle ein:

   $stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate
   
   $stsCert.Export("Cert") | Set-Content <C:\ConsumingFarmSTS.cer> -Encoding byte
   

   Wobei <C:\ConsumingFarmSTS.cer> der Pfad des STS-Zertifikats ist.

So exportieren Sie das Stammzertifikat aus der Veröffentlichungsfarm

1. Stellen Sie auf einem Server sicher, auf dem SharePoint Server 2010 in der Veröffentlichungsfarm ausgeführt wird, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.

2. Klicken Sie im Startmenü auf Verwaltung.

3. Klicken Sie auf SharePoint 2010-Verwaltungsshell.

4. Geben Sie an der Windows PowerShell-Eingabeaufforderung die folgenden Befehle ein:

   $rootCert = (Get-SPCertificateAuthority).RootCertificate
   
   $rootCert.Export("Cert") | Set-Content <C:\PublishingFarmRoot.cer> -Encoding byte
   

   Wobei <C:\PublishingFarmRoot.cer> der Pfad des Stammzertifikats ist.

So kopieren Sie die Zertifikate

1. Kopieren Sie das Stammzertifikat und das STS-Zertifikat vom Server in der Farm, die den Dienst in Anspruch nimmt, auf den Server in der Veröffentlichungsfarm.

2. Kopieren Sie das Stammzertifikat vom Server in der Veröffentlichungsfarm auf einen Server in der Farm, die den Dienst in Anspruch nimmt.

Verwalten von vertrauenswürdigen Zertifikaten mithilfe von Windows Powershell

Die Verwaltung von vertrauenswürdigen Zertifikaten innerhalb einer Farm umfasst das Einrichten von Vertrauensstellungen. In diesem Abschnitt wird das Einrichten von Vertrauensstellungen sowohl in der Farm, die den Dienst in Anspruch nimmt, als auch in der veröffentlichenden Farm mithilfe von Windows PowerShell 2,0-Befehlen erläutert.

Herstellen einer Vertrauensstellung in der Farm, die den Dienst in Anspruch nimmt

Zum Herstellen einer Vertrauensstellung in der Farm, die den Dienst in Anspruch nimmt, müssen Sie das Stammzertifikat, das aus der Veröffentlichungsfarm kopiert wurde, importieren und eine vertrauenswürdige Stammzertifizierungsstelle erstellen.

So importieren Sie das Stammzertifikat und erstellen eine vertrauenswürdige Stammzertifizierungsstelle in der Farm, die den Dienst in Anspruch nimmt

1. Geben Sie an der Windows PowerShell-Eingabeaufforderung auf einem Server der Farm, die den Dienst in Anspruch nimmt, die folgenden Befehle ein:

   $trustCert = Get-PfxCertificate <C:\PublishingFarmRoot.cer>
   
   New-SPTrustedRootAuthority <PublishingFarm> -Certificate $trustCert
   

Dabei gilt:

• <C:\PublishingFarmRoot.cer> ist der Pfad des Stammzertifikats, das Sie aus der Veröffentlichungsfarm in die Farm, die den Dienst in Anspruch nimmt, kopiert haben.

• <PublishingFarm"> ist ein eindeutiger Name, der die Veröffentlichungsfarm bezeichnet. Jede vertrauenswürdige Stammzertifizierungsstelle benötigt einen eindeutigen Namen.

Herstellen einer Vertrauensstellung in der Veröffentlichungsfarm

Zum Herstellen einer Vertrauensstellung in der Veröffentlichungsfarm müssen Sie das Stammzertifikat, das aus der Farm, die den Dienst in Anspruch nimmt, kopiert wurde, importieren und eine vertrauenswürdige Stammzertifizierungsstelle erstellen. Sie müssen dann das STS-Zertifikat importieren, das aus der Farm, die den Dienst in Anspruch nimmt, kopiert wurde und einen vertrauenswürdigen Tokenherausgeber erstellen.

So importieren Sie das Stammzertifikat und erstellen eine vertrauenswürdige Stammzertifizierungsstelle in der Veröffentlichungsfarm

1. Geben Sie an der Windows PowerShell-Eingabeaufforderung auf einem Server der Veröffentlichungsfarm die folgenden Befehle ein:

   $trustCert = Get-PfxCertificate <C:\ConsumingFarmRoot.cer>
   
   New-SPTrustedRootAuthority <ConsumingFarm> -Certificate $trustCert
   

Dabei gilt:

• <C:\ConsumingFarmRoot.cer> ist der Name und das Verzeichnis des Stammzertifikats, das Sie aus der Farm, die den Dienst in Anspruch nimmt, in die Veröffentlichungsfarm kopiert haben.

• <ConsumingFarm> ist ein eindeutiger Name, der die Farm, die den Dienst in Anspruch nimmt, bezeichnet. Jede vertrauenswürdige Stammzertifizierungsstelle benötigt einen eindeutigen Namen.

So importieren Sie das STS-Zertifikat und erstellen einen vertrauenswürdigen Tokenherausgeber in der Veröffentlichungsfarm

1. Geben Sie an der Windows PowerShell-Eingabeaufforderung auf einem Server der Veröffentlichungsfarm die folgenden Befehle ein:

   $stsCert = Get-PfxCertificate <c:\ConsumingFarmSTS.cer>
   
   New-SPTrustedServiceTokenIssuer <ConsumingFarm> -Certificate $stsCert
   

Dabei gilt:

1. <C:\ConsumingFarmSTS.cer> ist der Pfad des STS-Zertifikats, das Sie aus der Farm, die den Dienst in Anspruch nimmt, in die Veröffentlichungsfarm kopiert haben.

2. <ConsumingFarm> ist ein eindeutiger Name, der die Farm, die den Dienst in Anspruch nimmt, bezeichnet. Jeder vertrauenswürdige Diensttokenherausgeber benötigt einen eindeutigen Namen.

Weitere Informationen zu diesen Windows PowerShell 2,0-Cmdlets finden Sie in den folgenden Artikeln:

• Get-SPCertificateAuthority

• Get-SPSecurityTokenServiceConfig

• New-SPTrustedRootAuthority

• New-SPTrustedServiceTokenIssuer

• Get-PfxCertificate (https://go.microsoft.com/fwlink/?linkid=178943&clcid=0x407)

Verwalten von vertrauenswürdigen Zertifikaten mithilfe der Zentraladministration

Die Vertrauensstellungen in einer Farm können nur verwaltet werden, nachdem die relevanten Zertifikate in die Farm exportiert und kopiert wurden.

So errichten Sie eine Vertrauensstellung mithilfe der Zentraladministration

1. Vergewissern Sie sich, dass das Benutzerkonto, mit dem dieses Verfahren ausgeführt wird, Mitglied der SharePoint-Gruppe Farmadministratoren ist.

2. Klicken Sie auf der Website für die SharePoint-Zentraladministration auf Sicherheit.

3. Klicken Sie auf der Seite Sicherheit im Abschnitt Allgemeine Sicherheit auf Vertrauensstellung verwalten.

4. Klicken Sie auf der Seite der Vertrauensstellung auf dem Menüband auf Neu.

5. Führen Sie auf der Seite zum Einrichten einer Vertrauensstellung die folgenden Aktionen aus:

   1. Geben Sie einen Namen an, der den Zweck der Vertrauensstellung beschreibt.

   2. Wechseln Sie zum Zertifikat der Stammzertifizierungsstelle für die Vertrauensstellung, und wählen Sie dieses aus. Hierbei muss es sich um das Zertifikat der Stammzertifizierungsstelle handeln, das aus der anderen Farm mithilfe von Windows PowerShell exportiert wurde, wie unter Exporting and copying certificates beschrieben.

   3. Falls Sie diese Aufgabe in der Veröffentlichungsfarm ausführen, aktivieren Sie das Kontrollkästchen für Vertrauensstellung bereitstellen. Geben Sie einen beschreibenden Namen für den Tokenherausgeber an, und wechseln Sie zu dem STS-Zertifikat, das von der verwendenden Farm wie in Exporting and copying certificates beschrieben kopiert wurde, und wählen Sie es aus.

   4. Klicken Sie auf OK.

   Wenn die Vertrauensstellung eingerichtet ist, können Sie die Beschreibung des Tokenherausgebers oder die verwendeten Zertifikate ändern, indem Sie auf die Vertrauensstellung klicken und dann auf Bearbeiten klicken. Sie können eine Vertrauensstellung löschen, indem Sie darauf klicken und dann auf Löschen klicken.

See Also

Concepts

Konfigurieren der Forderungsauthentifizierung (SharePoint Server 2010)
Konfigurieren des Sicherheitstokendiensts (SharePoint Server 2010)

Other Resources

VERALTET Planen der anspruchsbasierten Authentifizierung (SharePoint Server 2010)
Konfigurieren des Sicherheitstokendiensts (SharePoint Foundation 2010)