Échanger des certificats de confiance entre des batteries de serveurs dans SharePoint Server
**Sapplique à :**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016
**Dernière rubrique modifiée :**2018-02-21
Résumé : Découvrez comment échanger des certificats de confiance entre la batterie de serveurs de publication et la batterie de serveurs consommatrice dans SharePoint Server 2016 et SharePoint 2013.
Dans SharePoint Server, une batterie de serveurs peut se connecter à une application de service publiée sur une autre batterie de serveurs SharePoint Server, et l’utiliser. Pour ce faire, les batteries doivent échanger des certificats de confiance.
Les deux batteries de serveurs doivent participer à cet échange pour que le partage d’applications de service fonctionne.
Pour plus d’informations sur le partage d’applications de service entre des batteries de serveurs, voir Partager des applications de service entre plusieurs batteries dans SharePoint Server.
Vous devez utiliser des commandes Microsoft PowerShell pour exporter et copier les certificats entre les batteries. Une fois les certificats exportés et copiés, vous pouvez utiliser des commandes PowerShell ou Administration centrale pour gérer les approbations au sein de la batterie.
Les instructions fournies ici supposent les critères suivants :
Les serveurs qui sont utilisés pour ces procédures exécutent PowerShell.
L’administrateur va sélectionner et utiliser le même serveur dans chaque batterie de serveurs pour toutes les étapes du processus.
Si le contrôle de compte d’utilisateur est activé, vous devez exécuter les commandes PowerShell avec des privilèges élevés.
Contenu de cet article :
Exportation et copie de certificats
Gestion de certificats d’approbation à l’aide de Windows Powershell
Gestion de certificats d’approbation à l’aide de l’Administration centrale
Avant de commencer cette opération, lisez Partager des applications de service entre plusieurs batteries dans SharePoint Server pour des informations sur les éléments prérequis :
Exportation et copie de certificats
Un administrateur de la batterie de serveurs consommatrice doit fournir deux certificats de confiance à la batterie de serveurs de publication : un certificat racine et un certificat de service de jeton de sécurité (STS). Un administrateur de la batterie de serveurs de publication doit fournir un certificat racine à la batterie de serveurs consommatrice.
Vous pouvez uniquement exporter et copier des certificats à l’aide de Windows PowerShell 3.0 ou d’une version ultérieure.
Pour exporter le certificat racine à partir de la batterie de serveurs consommatrice
Sur un serveur qui exécute SharePoint Server sur la batterie de serveurs consommatrice, vérifiez que vous êtes membre :
du rôle serveur fixe securityadmin sur l’instance SQL Server ;
du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.
Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d’utilisation des cmdlets SharePoint Server.
Notes
Si vous ne disposez pas des autorisations, contactez votre administrateur d’installation ou votre administrateur SQL Server afin de les demander. Pour plus d’informations sur les autorisations PowerShell, voir Add-SPShellAdmin.
Démarrez SharePoint Management Shell.
À l’invite de commandes PowerShell, tapez la commande suivante :
$rootCert = (Get-SPCertificateAuthority).RootCertificate $rootCert.Export("Cert") | Set-Content <C:\ConsumingFarmRoot.cer> -Encoding byteOù <C:\ConsumingFarmRoot.cer> est le chemin d’accès du certificat racine.
Pour exporter le certificat STS à partir de la batterie de serveurs consommatrice
Vérifiez que vous êtes membre :
Rôle serveur fixe securityadmin sur l’instance SQL Server
du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.
Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d’utilisation des cmdlets SharePoint Server.
Notes
Si vous ne disposez pas des autorisations, contactez votre administrateur d’installation ou votre administrateur SQL Server afin de les demander. Pour plus d’informations sur les autorisations PowerShell, voir Add-SPShellAdmin.
Démarrez SharePoint Management Shell.
À l’invite de commandes PowerShell, tapez la commande suivante :
$stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate $stsCert.Export("Cert") | Set-Content <C:\ConsumingFarmSTS.cer> -Encoding byteOù <C:\ConsumingFarmSTS.cer> est le chemin d’accès du certificat STS.
Pour exporter le certificat racine de la batterie de serveurs de publication
Sur un serveur qui exécute SharePoint Server sur la batterie de serveurs de publication, vérifiez que vous êtes membre :
du rôle serveur fixe securityadmin sur l’instance SQL Server ;
du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.
Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d’utilisation des cmdlets SharePoint Server.
Notes
Si vous ne disposez pas des autorisations, contactez votre administrateur d’installation ou votre administrateur SQL Server afin de les demander. Pour plus d’informations sur les autorisations PowerShell, voir Add-SPShellAdmin.
Démarrez SharePoint Management Shell.
À l’invite de commandes PowerShell, tapez la commande suivante :
$rootCert = (Get-SPCertificateAuthority).RootCertificate $rootCert.Export("Cert") | Set-Content <C:\PublishingFarmRoot.cer> -Encoding byteOù <C:\PublishingFarmRoot.cer> est le chemin d’accès du certificat racine.
Pour copier les certificats
Copiez le certificat racine et le certificat STS à partir du serveur dans la batterie de serveurs consommatrice vers le serveur de la batterie de serveurs de publication.
Copiez le certificat racine du serveur de la batterie de publication vers un serveur de la batterie consommatrice.
Gestion de certificats d’approbation à l’aide de PowerShell
La gestion des certificats d’approbation dans une batterie nécessite l’établissement d’une approbation. Cette section décrit comment établir une approbation sur les batteries de publication et consommatrice à l’aide de commandes PowerShell.
Établir une approbation de la batterie de serveurs consommatrice
Pour établir l’approbation de la batterie de serveurs consommatrice, vous devez importer le certificat racine qui a été copié à partir de la batterie de serveurs de publication et créer une autorité racine de confiance.
Pour importer le certificat racine et créer une autorité racine de confiance sur la batterie de serveurs consommatrice
Vérifiez que vous êtes membre :
Rôle serveur fixe securityadmin sur l’instance SQL Server
du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.
Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d’utilisation des cmdlets SharePoint Server.
Notes
Si vous ne disposez pas des autorisations, contactez votre administrateur d’installation ou votre administrateur SQL Server afin de les demander. Pour plus d’informations sur les autorisations PowerShell, voir Add-SPShellAdmin.
Démarrez SharePoint Management Shell.
À l’invite de commandes PowerShell, tapez la commande suivante :
$trustCert = Get-PfxCertificate <C:\PublishingFarmRoot.cer> New-SPTrustedRootAuthority <PublishingFarm> -Certificate $trustCertOù :
<C:\PublishingFarmRoot.cer> est le chemin d’accès au certificat racine que vous avez copié sur la batterie consommatrice à partir de la batterie de publication.
<PublishingFarm> est un nom unique qui identifie la batterie de publication. Chaque autorité racine de confiance doit avoir un nom unique.
Établir une approbation de la batterie de serveurs de publication
Pour établir l’approbation sur la batterie de serveurs de publication, vous devez importer le certificat racine qui a été copié à partir de la batterie de serveurs consommatrice et créer une autorité racine de confiance. Vous devez ensuite importer le certificat SharePoint Team Services qui a été copié à partir de la batterie de serveurs consommatrice et créer un émetteur de jeton de service approuvé.
Pour importer le certificat racine et créer une autorité racine de confiance sur la batterie de serveurs de publication
Vérifiez que vous êtes membre :
Rôle serveur fixe securityadmin sur l’instance SQL Server
du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.
Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d’utilisation des cmdlets SharePoint Server.
Notes
Si vous ne disposez pas des autorisations, contactez votre administrateur d’installation ou votre administrateur SQL Server afin de les demander. Pour plus d’informations sur les autorisations PowerShell, voir Add-SPShellAdmin.
Démarrez SharePoint Management Shell.
À l’invite de commandes PowerShell, tapez la commande suivante :
$trustCert = Get-PfxCertificate <C:\ConsumingFarmRoot.cer> New-SPTrustedRootAuthority <ConsumingFarm> -Certificate $trustCertOù :
<C:\ConsumingFarmRoot.cer> est le nom et l’emplacement du certificat racine que vous avez copié sur la batterie de publication à partir de la batterie consommatrice.
<ConsumingFarm> est un nom unique qui identifie la batterie consommatrice. Chaque autorité racine de confiance doit avoir un nom unique.
Pour importer le certificat STS et créer un émetteur de jeton de service approuvé sur la batterie de serveurs de publication
Vérifiez que vous êtes membre :
Rôle serveur fixe securityadmin sur l’instance SQL Server
du rôle de base de données fixe db_owner sur toutes les bases de données à mettre à jour ;
du groupe Administrateurs sur le serveur sur lequel vous exécutez les applets de commande PowerShell.
Ajoutez les appartenances qui sont nécessaires au-delà des minima décrits ci-dessus.
Un administrateur peut utiliser la cmdlet Add-SPShellAdmin pour accorder les autorisations d’utilisation des cmdlets SharePoint Server.
Notes
Si vous ne disposez pas des autorisations, contactez votre administrateur d’installation ou votre administrateur SQL Server afin de les demander. Pour plus d’informations sur les autorisations PowerShell, voir Add-SPShellAdmin.
Démarrez SharePoint Management Shell.
À l’invite de commandes PowerShell, tapez la commande suivante :
$stsCert = Get-PfxCertificate <c:\ConsumingFarmSTS.cer> New-SPTrustedServiceTokenIssuer <ConsumingFarm> -Certificate $stsCertOù :
<C:\ConsumingFarmSTS.cer> est le chemin d’accès au certificat STS que vous avez copié sur la batterie de publication à partir de la batterie consommatrice.
<ConsumingFarm> est un nom unique qui identifie la batterie consommatrice. Chaque émetteur de jeton de service doit avoir un nom unique.
Où :
Pour plus d’informations sur ces cmdlets PowerShell, reportez-vous aux articles suivants :
Pour plus d’informations sur l’utilisation d’un script pour automatiser une partie de ce processus, voir l’article sur l’échange de certificats d’approbation entre batteries.
Gestion de certificats d’approbation à l’aide de l’Administration centrale
Vous pouvez gérer les approbations sur une batterie uniquement une fois que tous les certificats pertinents ont été exportés et copié sur la batterie.
Pour établir une approbation à l’aide de l’Administration centrale
Vérifiez que le compte d’utilisateur qui exécute cette procédure est membre du groupe SharePoint Administrateurs de batterie.
Sur le le site Web Administration centrale de SharePoint, cliquez sur Sécurité.
Dans la page Sécurité, dans la section Sécurité générale, cliquez sur Gérer la relation d’approbation.
Dans la page Relation d’approbation, sur le Ruban, cliquez sur Nouveau.
Dans la page Établir une relation d’approbation :
Spécifiez un nom qui décrit la fonction de cette relation d’approbation.
Naviguez jusqu’au certificat d’autorité racine de la relation d’approbation et sélectionnez-le. Il doit s’agir du certificat d’autorité racine qui a été exporté à partir de l’autre batterie à l’aide de Microsoft PowerShell, comme décrit dans Exportation et copie de certificats.
Si vous effectuez cette tâche sur la batterie de publication, cochez la case Fournir la relation d’approbation. Entrez un nom descriptif pour l’émetteur de jeton, naviguez jusqu’au certificat STS qui a été copié à partir de la batterie qui l’utilise, comme décrit dans Exportation et copie de certificats, et sélectionnez-le.
Cliquez sur OK.
Une fois la relation d’approbation établie, vous pouvez modifier la description de l’émetteur de jeton ou les certificats utilisés en cliquant sur l’approbation, puis en cliquant sur Modifier. Vous pouvez supprimer une approbation en cliquant dessus, puis en cliquant sur Supprimer.
See also
Planifier les méthodes d’authentification utilisateur dans SharePoint Server
Créer une application web dans SharePoint 2013
Configurer l’authentification basée sur les revendications SAML avec les services ADFS dans SharePoint 2013