Échanger des certificats de confiance entre des batteries (SharePoint Server 2010)

  • Article

 

S’applique à : SharePoint Foundation 2010, SharePoint Server 2010

Dernière rubrique modifiée : 2016-11-30

Dans Microsoft SharePoint Server 2010, une batterie de serveurs SharePoint peut se connecter à une application de service publiée sur une autre batterie de serveurs SharePoint Server 2010, et l’utiliser. Pour ce faire, les batteries doivent échanger des certificats de confiance.

Cet article explique comment échanger des certificats de confiance entre la batterie de serveurs de publication et la batterie de serveurs consommatrice. Notez que les deux batteries de serveurs doivent participer à cet échange pour que le partage d'applications de service fonctionne.

Important

Avant de commencer à partager des applications de service, nous vous recommandons vivement de lire les articles Partager des applications de service parmi des batteries (SharePoint Server 2010) et Planification de l’architecture des services (SharePoint Server 2010).

Vous devez utiliser des commandes Windows PowerShell 2,0 pour exporter et copier les certificats entre les batteries. Une fois les certificats exportés et copiés, vous pouvez utiliser des commandes Windows PowerShell 2,0 ou l’Administration centrale pour gérer les approbations au sein de la batterie.

Les instructions fournies ici supposent les critères suivants :

  • Les serveurs qui sont utilisés pour ces procédures exécutent Windows PowerShell 2,0.

  • L'administrateur va sélectionner et utiliser le même serveur dans chaque batterie de serveurs pour toutes les étapes du processus.

  • Si le contrôle de compte d’utilisateur est activé, vous devez exécuter les commandes Windows PowerShell 2,0 avec des privilèges élevés.

Dans cet article :

  • Exportation et copie de certificats

  • Gestion de certificats de confiance à l’aide de Windows Powershell

  • Gestion de certificats de confiance à l’aide de l’Administration centrale

Exportation et copie de certificats

Un administrateur de la batterie de serveurs consommatrice doit fournir deux certificats de confiance à la batterie de serveurs de publication : un certificat racine et un certificat de service de jeton de sécurité (STS). Un administrateur de la batterie de serveurs de publication doit fournir un certificat racine à la batterie de serveurs consommatrice.

Vous pouvez uniquement exporter et copier des certificats à l’aide de Windows PowerShell 2,0.

Pour exporter le certificat racine à partir de la batterie de serveurs consommatrice

  1. Sur un serveur qui exécute SharePoint Server 2010 sur la batterie de serveurs consommatrice, vérifiez que vous répondez à la configuration minimale suivante : Voir Add-SPShellAdmin.

  2. Dans le menu Démarrer, cliquez sur Outils d’administration.

  3. Cliquez sur SharePoint 2010 Management Shell.

  4. Depuis l’invite de commandes Windows PowerShell, tapez chacune des commandes suivantes.

    $rootCert = (Get-SPCertificateAuthority).RootCertificate

$rootCert.Export("Cert") | Set-Content <C:\ConsumingFarmRoot.cer> -Encoding byte

    <C:\ConsumingFarmRoot.cer> est le chemin d’accès au certificat racine.

Pour exporter le certificat STS à partir de la batterie de serveurs consommatrice

  1. À l’invite de commandes Windows PowerShell, tapez les commandes suivantes :

    $stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate

$stsCert.Export("Cert") | Set-Content <C:\ConsumingFarmSTS.cer> -Encoding byte

    <C:\ConsumingFarmSTS.cer> est le chemin d’accès au certificat STS.

Pour exporter le certificat racine de la batterie de serveurs de publication

  1. Sur un serveur qui exécute SharePoint Server 2010 sur la batterie de serveurs de publication, vérifiez que vous répondez à la configuration minimale suivante : Voir Add-SPShellAdmin.

  2. Dans le menu Démarrer, cliquez sur Outils d’administration.

  3. Cliquez sur SharePoint 2010 Management Shell.

  4. À l’invite de commandes Windows PowerShell, tapez les commandes suivantes :

    $rootCert = (Get-SPCertificateAuthority).RootCertificate

$rootCert.Export("Cert") | Set-Content <C:\PublishingFarmRoot.cer> -Encoding byte

    <C:\PublishingFarmRoot.cer> est le chemin d’accès au certificat racine.

Pour copier les certificats

  1. Copiez le certificat racine et le certificat STS à partir du serveur dans la batterie de serveurs consommatrice vers le serveur de la batterie de serveurs de publication.

  2. Copiez le certificat racine du serveur de la batterie de publication vers un serveur de la batterie consommatrice.

Gestion de certificats d’approbation à l’aide de Windows Powershell

La gestion des certificats d’approbation dans une batterie nécessite l’établissement d’une approbation. Cette section décrit comment établir une approbation sur les batteries de publication et consommatrice à l’aide de commandes Windows PowerShell 2,0.

Établir une approbation de la batterie de serveurs consommatrice

Pour établir l'approbation de la batterie de serveurs consommatrice, vous devez importer le certificat racine qui a été copié à partir de la batterie de serveurs de publication et créer une autorité racine de confiance.

Pour importer le certificat racine et créer une autorité racine de confiance sur la batterie de serveurs consommatrice

  1. À l’invite de commandes Windows PowerShell sur un serveur dans la batterie consommatrice, tapez les commandes suivantes :

    $trustCert = Get-PfxCertificate <C:\PublishingFarmRoot.cer>

New-SPTrustedRootAuthority <PublishingFarm> -Certificate $trustCert

Où :

  • <C:\PublishingFarmRoot.cer> est le chemin d’accès au certificat racine que vous avez copié sur la batterie consommatrice à partir de la batterie de publication.

  • <PublishingFarm> est un nom unique qui identifie la batterie de publication. Chaque autorité racine de confiance doit avoir un nom unique.

Établir une approbation de la batterie de serveurs de publication

Pour établir l'approbation sur la batterie de serveurs de publication, vous devez importer le certificat racine qui a été copié à partir de la batterie de serveurs consommatrice et créer une autorité racine de confiance. Vous devez ensuite importer le certificat SharePoint Team Services qui a été copié à partir de la batterie de serveurs consommatrice et créer un émetteur de jeton de service approuvé.

Pour importer le certificat racine et créer une autorité racine de confiance sur la batterie de serveurs de publication

  1. À l’invite de commandes Windows PowerShell sur un serveur dans la batterie de publication, tapez les commandes suivantes :

    $trustCert = Get-PfxCertificate <C:\ConsumingFarmRoot.cer>

New-SPTrustedRootAuthority <ConsumingFarm> -Certificate $trustCert

Où :

  • <C:\ConsumingFarmRoot.cer> est le nom et l’emplacement du certificat racine que vous avez copié sur la batterie de publication à partir de la batterie consommatrice.

  • <ConsumingFarm> est un nom unique qui identifie la batterie consommatrice. Chaque autorité racine de confiance doit avoir un nom unique.

Pour importer le certificat STS et créer un émetteur de jeton de service approuvé sur la batterie de serveurs de publication

  1. À l’invite de commandes Windows PowerShell sur un serveur dans la batterie de publication, tapez les commandes suivantes :

    $stsCert = Get-PfxCertificate <c:\ConsumingFarmSTS.cer>

New-SPTrustedServiceTokenIssuer <ConsumingFarm> -Certificate $stsCert

Où :

  1. <C:\ConsumingFarmSTS.cer> est le chemin d’accès au certificat STS que vous avez copié sur la batterie de publication à partir de la batterie consommatrice.

  2. <ConsumingFarm> est un nom unique qui identifie la batterie consommatrice. Chaque émetteur de jeton de service doit avoir un nom unique.

Pour plus d’informations sur ces applets de commande Windows PowerShell 2,0, voir les articles suivants :

Gestion de certificats d’approbation à l’aide de l’Administration centrale

Vous pouvez gérer les approbations sur une batterie uniquement une fois que tous les certificats pertinents ont été exportés et copié sur la batterie.

Pour établir une approbation à l’aide de l’Administration centrale

  1. Vérifiez que le compte d’utilisateur qui effectue cette procédure est membre du groupe SharePoint Administrateurs de batterie de serveurs.

  2. Dans le site Web Administration centrale de SharePoint, cliquez sur Sécurité.

  3. Dans la page Sécurité, dans la section Sécurité générale, cliquez sur Gérer la relation d’approbation.

  4. Dans la page Relation d’approbation, sur le Ruban, cliquez sur Nouveau.

  5. Dans la page Établir une relation d’approbation :

    1. Spécifiez un nom qui décrit la fonction de cette relation d’approbation.

    2. Naviguez jusqu’au Certificat d’autorité racine de la relation d’approbation et sélectionnez-le. Il doit s’agir du Certificat d’autorité racine qui a été exporté à partir de l’autre batterie à l’aide de Windows PowerShell, comme décrit dans Exportation et copie de certificats.

    3. Si vous effectuez cette tâche sur la batterie de publication, activez la case à cocher Fournir la relation d’approbation. Tapez un nom descriptif pour l’émetteur de jeton, naviguez jusqu’au certificat STS qui a été copié à partir de la batterie consommatrice (comme décrit dans Exportation et copie de certificats) et sélectionnez-le.

    4. Cliquez sur OK.

    Une fois la relation d’approbation établie, vous pouvez modifier la description de l’émetteur de jeton ou les certificats utilisés en cliquant sur l’approbation, puis en cliquant sur Modifier. Vous pouvez supprimer une approbation en cliquant dessus, puis en cliquant sur Supprimer.

See Also

Concepts

Configurer l’authentification par revendications (SharePoint Server 2010)
Configurer le service d’émission de jeton de sécurité (SharePoint Server 2010)

Other Resources

(Obsolète) Planifier l’authentification par revendications (SharePoint Server 2010)
Configurer le service de jeton de sécurité (SharePoint Foundation 2010)