Administración de certificados (FAST Search Server 2010 for SharePoint)

Se aplica a: FAST Search Server 2010

Última modificación del tema: 2016-11-29

FAST Search Server 2010 for SharePoint usa certificados para autenticación y cifrado. Los certificados se usan para la comunicación entre servidores en una implementación de servidores múltiples de FAST Search Server 2010 for SharePoint, y entre FAST Search Server 2010 for SharePoint y Microsoft SharePoint Server.

Los servidores de una implementación de FAST Search Server 2010 for SharePoint potencialmente con de tres certificados que sirva a diferentes funciones y que se debe configurar y reemplazado por separado:

• Certificado FAST Search de propósito general (utilizado para las comunicaciones internas, servicios de administración y alimentación de Microsoft SharePoint Server)

• Específica del servidor de certificados para el tráfico de la consulta mediante HTTPS (sólo en servidores de consultas que tienen habilitado el tráfico de consultas HTTPS).

• Las solicitudes certificado (sólo en servidores de consulta).

Tenga en cuenta que los dos certificados de la primeros se pueden combinar en un solo certificado si se cumplen los requisitos enumerados en el certificado de FAST Search de propósito general. Sin embargo, debe realizar ciertos pasos de configuración para reemplazar cada uno de ellos (por ejemplo, debido a de caducidad o revocación).

En esta sección:

• Certificado FAST Search de propósito general

• Certificado HTTPS de consulta

• Las solicitudes certificado

Certificado FAST Search de propósito general

Durante la instalación inicial, FAST Search Server 2010 for SharePoint genera un certificado firmado automáticamente. El certificado con firma personal tiene una fecha de caducidad de un año desde el momento de la configuración y sólo está destinado a utilizarse en entornos de prueba. Hay varias limitaciones a este certificado:

• Los certificados autofirmados proporcionan una seguridad limitada porque no pueden revocarse. Esto podría permitir que un atacante suplantar identidades o insertar datos en las conexiones, si estuviera en peligro la clave privada.

• No se puede utilizar el certificado con firma automática para habilitar las consultas a través de HTTPS.

• No se puede utilizar el certificado con firma automática para habilitar los servicios de administración a través de HTTPS.

Para ayudar a alcanzar un nivel muy alto de seguridad, FAST Search Server 2010 for SharePoint debe utilizar una infraestructura de claves públicas (PKI) existente. Cada servidor en una implementación de varios servidores FAST Search Server 2010 for SharePoint debe tener un certificado independiente que está emitido por una entidad de certificación (CA) común.

Los siguientes requisitos se aplican a cada certificado de servidor:

• El nombre de asunto o el campo de asunto (SAN) de nombre alternativo debe contener el nombre de dominio completo (FQDN) del servidor que se emite el certificado. Esto es necesario para admitir consultas a través de HTTPS y la administración de servicios a través de HTTPS.

• El certificado emitido a Microsoft SharePoint Server debe tener el mismo emisor como los certificados emitidos a los servidores de la implementación de FAST Search Server 2010 for SharePoint.

• El usuario FAST Search Server 2010 for SharePoint debe tener acceso a la clave privada del certificado.

La distribución de FAST Search Server 2010 for SharePoint incluye una secuencia de comandos Windows PowerShell que debe ejecutarse en los servidores de la implementación para reemplazar el certificado autofirmado predeterminado. La secuencia de comandos puede realizar dos tareas independientes:

• Crear un nuevo certificado firmado automáticamente con una caducidad de un año y configurar FAST Search Server 2010 for SharePoint para utilizar el nuevo certificado. Consulte para reemplazar el certificado autofirmado con un nuevo certificado firmado automáticamente.

• Configurar FAST Search Server 2010 for SharePoint para utilizar un certificado existente que está firmado por una entidad emisora de certificados (CA), proporcione una huella digital de un certificado ya instalado. Consulte para Reemplazar el certificado autofirmado con un certificado firmado por una entidad emisora de certificados (CA)

Reemplazar el certificado autofirmado con un nuevo certificado con firma personal

Para reemplazar el certificado autofirmado predeterminado con un nuevo certificado firmado automáticamente, siga estos pasos:

1. Detener FAST Search Server 2010 for SharePoint en todos los servidores del conjunto de servidores, incluido el servicio de supervisión.

2. En el servidor de administración, siga estos pasos:

   1. En el menú Inicio, haga clic en Todos los programas.

   2. Haga clic en Microsoft FAST Search Server 2010 para SharePoint y, a continuación, en Microsoft FAST Search Server 2010 para shell de SharePoint.

   3. En el símbolo del sistema, vaya a installer\scripts bajo la carpeta de instalación.

   4. Escriba el siguiente comando:

      .\ReplaceDefaultCertificate.ps1 -generateNewCertificate $true
      

3. Iniciar FAST Search Server 2010 for SharePoint en el servidor de administración.

4. En cada servidor no es administrador, siga estos pasos:

   1. En el menú Inicio, haga clic en Todos los programas.

   2. Haga clic en Microsoft FAST Search Server 2010 para SharePoint y, a continuación, en Microsoft FAST Search Server 2010 para shell de SharePoint.

   3. En el símbolo del sistema, vaya a installer\scripts bajo la carpeta de instalación.

   4. Escriba el siguiente comando:

      .\ReplaceDefaultCertificate.ps1 -generateNewCertificate $true
      

5. Iniciar FAST Search Server 2010 for SharePoint en todos los servidores que no sea de administrador.

El nuevo certificado autofirmado tendrá una fecha de caducidad de un año.

Si ya se ha agregado FAST Search Server 2010 for SharePoint como un back-end para Microsoft SharePoint Server, también se deben rehacer los pasos de certificado en que configure SSL habilita la comunicación en Creación y configuración de la aplicación de servicio de búsqueda de contenido.

Reemplazar el certificado autofirmado con un certificado firmado por una entidad emisora de certificados (CA)

Para reemplazar el certificado autofirmado predeterminado con un certificado firmado por una entidad emisora de certificados, siga estos pasos:

1. Detener FAST Search Server 2010 for SharePoint en todos los servidores del conjunto de servidores, incluido el servicio de supervisión.

2. En cada servidor del conjunto de servidores FAST Search Server 2010 for SharePoint:

   • Asegúrese de que el nuevo certificado está instalado correctamente y que el usuario FAST Search Server 2010 for SharePoint tiene acceso a la clave privada del certificado.

     El certificado debe instalarse en Certificates(Local Computer)\Personal en el almacén de certificados.

     El certificado de entidad emisora de certificados del certificado debe instalarse en Certificates(Local Computer)\Trusted Root Certification Authorities.

3. En el servidor de administración, siga estos pasos:

   1. En el menú Inicio, haga clic en Todos los programas.

   2. Haga clic en Microsoft FAST Search Server 2010 para SharePoint y, a continuación, en Microsoft FAST Search Server 2010 para shell de SharePoint.

   3. En el símbolo del sistema, vaya a installer\scripts bajo la carpeta de instalación.

   4. Escriba el siguiente comando:

      .\ReplaceDefaultCertificate.ps1 -thumbprint "certificate thumbprint"
      

      Para determinar la huella digital del certificado, abrir el almacén de certificados en el servidor local y buscar el certificado.

4. Iniciar FAST Search Server 2010 for SharePoint en el servidor de administración.

5. En cada servidor no es administrador, siga estos pasos:

   1. En el menú Inicio, haga clic en Todos los programas.

   2. Haga clic en Microsoft FAST Search Server 2010 para SharePoint y, a continuación, en Microsoft FAST Search Server 2010 para shell de SharePoint.

   3. En el símbolo del sistema, vaya a installer\scripts bajo la carpeta de instalación.

   4. Escriba el siguiente comando:

      .\ReplaceDefaultCertificate.ps1 -thumbprint "certificate thumbprint"
      

      Para determinar la huella digital del certificado, abrir el almacén de certificados en el servidor local y buscar el certificado.

6. Iniciar FAST Search Server 2010 for SharePoint en todos los servidores que no sea de administrador.

El Microsoft SharePoint Server donde se ejecuta el contenido SSA también necesita un certificado firmado por la misma entidad que inserte los documentos a FAST Search Server 2010 for SharePoint:

1. Instalar el certificado en Microsoft SharePoint Server en Certificates(Local Computer)\Personal en el almacén de certificados. El certificado de entidad emisora de certificados del certificado debe instalarse en Certificates(Local Computer)\Trusted Root Certification Authorities. Los siguientes pasos le ayudarán a establecer los permisos correctos en los certificados.

2. Copiar el SecureFASTSearchConnector.ps1 de secuencia de comandos desde el servidor de administración de FAST Search Server 2010 for SharePoint al servidor SharePoint Server 2010 que se está ejecutando el conector FAST Search. La secuencia de comandos SecureFASTSearchConnector.ps1 puede encontrarse en la carpeta de instalación, en \installer\scripts\.

3. En el servidor SharePoint Server 2010 que se está ejecutando el conector FAST Search, siga estos pasos:

   1. En el menú Inicio, haga clic en Todos los programas.

   2. Haga clic en Productos de Microsoft SharePoint 2010.

   3. Haga clic con El Shell de administración de SharePoint 2010 y seleccione Ejecutar como administrador.

   4. Vaya al directorio donde ha copiado la secuencia de comandos SecureFASTSearchConnector.ps1 y ejecutarlo, el reemplazo de los parámetros necesarios con los valores para su entorno. El nombre de dominio y el usuario debe reflejar los detalles del usuario que ejecuta el SharePoint Server Search 14 servicio (OSearch14):

      • Si sabe que la huella digital del certificado, escriba el comando siguiente:

        .\SecureFASTSearchConnector.ps1 -certThumbprint "certificate thumbprint" -ssaName "name of your content SSA" -username "domain\username"
        

      • Si no conoce la huella digital del certificado, escriba el comando siguiente:

        .\SecureFASTSearchConnector.ps1 -ssaName "name of your content SSA" -username "domain\username"
        

        Este comando devolverá la huella digital de los certificados disponibles y un mensaje que pregunta si desea utilizar el certificado sugerido.

        Escriba y para sí y, a continuación, haga clic en ENTRAR.

Certificado HTTPS de consulta

El certificado HTTPS de consulta se utiliza para cifrar el tráfico de consultas. Para el programa de instalación inicial, consulte Habilitación de HTTPS (FAST Search Server 2010 for SharePoint) (traducción automática).

Reemplazar el certificado HTTPS de consulta

Para reemplazar el certificado HTTPS de consulta, siga estos pasos en cada servidor de consultas FAST Search Server 2010 for SharePoint:

1. Importar el nuevo certificado SSL de servidor específico en el almacén de certificados. El certificado debe guardarse en Certificates(Local Computer)\Personal. Conceder al grupo de FASTSearchAdministrators acceso completo al certificado.

2. Eliminar el enlace de certificado anterior baseport + 286:

   1. En el menú Inicio, haga clic en Todos los programas.

   2. Haga clic en el servidor de búsqueda de Microsoft FAST 2010 para SharePoint.

   3. Haga clic con el botón secundario del mouse en Microsoft FAST Search Server 2010 para shell de SharePoint y seleccione Ejecutar como administrador.

   4. En el símbolo del sistema de Windows PowerShell, escriba los comandos siguientes:

      netsh http delete sslcert ipport=0.0.0.0:<baseport+286>
      

      donde:

      • < baseport + 286 > es el número de puerto reales.

3. Configurar el servidor de la consulta para utilizar el nuevo certificado en baseport + 286:

   1. En el símbolo del sistema de Windows PowerShell, escriba los comandos siguientes:

      netsh http add sslcert ipport=0.0.0.0:<baseport+286>  appid={a5455c78-6489-4e13-b395-47fbdee0e7e6} certhash=<Cert_Thumprint>
      

      donde:

      • <Cert_Thumbprint> es la huella digital del certificado nuevo.

      • < baseport + 286 > es el número de puerto reales.

Además, si el nuevo certificado no estaba firmado por la misma autoridad emisora de certificados (CA) que el certificado anterior, debe agregar el certificado de entidad emisora de certificados para la Microsoft SharePoint Server:

En Microsoft SharePoint Server:

1. Habilitar una relación de confianza en Microsoft SharePoint Server para los certificados SSL que ha creado para cada servidor de consultas FAST Search Server 2010 for SharePoint. Para ello, importe el certificado público de la autoridad de firma de los certificados SSL en Microsoft SharePoint Server:

   1. En el menú Inicio, haga clic en Todos los programas.

   2. Haga clic en Productos de Microsoft SharePoint 2010.

   3. Haga clic con El Shell de administración de SharePoint 2010 y seleccione Ejecutar como administrador.

   4. En el símbolo del sistema, escriba los comandos siguientes:

      $trustCert = Get-PfxCertificate '<SSL_CA_Public_Cert>.cert'
      New-SPTrustedRootAuthority "FASTSearchHostQuerySSLCert" -Certificate $trustCert
      

      donde:

      • <SSL_CA_Public_Cert> es el nombre del certificado de la autoridad de firma de los certificados SSL

Las solicitudes certificado

El certificado de reclamaciones proporciona autenticación basada en solicitudes. Para reemplazar este certificado, repita los pasos enumerados en Configuración de la autenticación de notificaciones (FAST Search Server 2010 for SharePoint).