本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

取代內部部署環境的 STS 憑證

 

適用版本:SharePoint Server 2013

上次修改主題的時間:2016-12-16

摘要:了解如何在 SharePoint Server 2013 中取代內部部署伺服器陣列的 Security Token Service (STS) 憑證。

適用於:

本文說明如何在 SharePoint Server 伺服器陣列中取代 SharePoint Security Token Service (STS) 憑證。

安裝 SharePoint Server 時,內部部署 SharePoint Server 伺服器陣列的 Security Token Service (STS) 會建立預設憑證來驗證傳入的 Token。當兩個 SharePoint Server 伺服器陣列之間需要有信任關係,或當伺服器陣列設成參與混合式環境時,您必須在信任成員之間使用共同的 STS 憑證。

如果您尚未這樣做,則必須購買或建立新的 STS 憑證。在實際執行環境中,建議向公用憑證授權單位 (CA) 購買新的 STS 憑證。這可提供最高階的憑證安全性,並減少自我簽署憑證發生與其他應用程式和服務的整合問題的機率。您可以將自我簽署憑證用於測試或試驗環境。

重要事項 重要事項:
公用憑證通常會在 1 年後過期。因此,請事先規劃憑證更新,以免服務中斷。此憑證必須至少為 2048 位元加密。如果憑證是向 CA 購買,而且正將它用於 SharePoint 混合式環境中,則 Azure AD (是 Office 365 所使用的目錄服務) 必須信任它。好消息是 Azure AD 信任大部分的公用根 CA。

取代 SharePoint Server 2013 伺服器陣列上的 STS 憑證時,需要知道新 STS 憑證的下列資訊。

  • 憑證的檔案名稱 (*.cer 檔案) 和其儲存位置。

  • 憑證的檔案名稱 (*.pfx 檔案) 和其儲存位置。

  • STS 憑證易記名稱。

  • 憑證的密碼。

 

編輯圖示

如果您正在設定 SharePoint 混合式環境,而且已向 CA 購買憑證或建立自我簽署憑證,則這些變數應該列在工作表的表 4a 中。

本文中的最後一個程序 (在 PowerShell 中完成) 會重新啟動 Internet Information Services (IIS) 和 SharePoint Timer (SPTimerV4) Service。這會中斷 SharePoint Server 伺服器陣列的服務。

注意 注意:
因為程序是在伺服器陣列的每部前端 Web 和應用程式伺服器上執行,所以一定要規劃在維護期間執行該程序。

在混合式 SharePoint Server 環境中,Azure Active Directory (AD) 服務會擔任 SharePoint Server 的受信任 Token 簽署服務,並使用 STS 憑證作為簽署憑證。但是,Azure AD (用作 Office 365 的目錄服務) 無法使用預設 STS 憑證作為簽署憑證,因為 Azure AD 不支援預設憑證的信任鏈結。

因此,您必須將 SharePoint Server 伺服器陣列中每部前端 Web 和應用程式伺服器上的預設 STS 憑證取代為以公用憑證授權單位 (CA) 所發行的憑證或自我簽署憑證。

重要事項 重要事項:
此憑證必須至少為 2048 位元加密。如果憑證購買自 CA,則 Azure AD 必須信任它。好消息是 Azure AD 信任大部分的公用根 CA。

如果您已向 CA 購買憑證,或已建立自我簽署憑證,則請移至取代 STS 憑證。否則,您可以使用下列程序建立自我簽署憑證。

在此步驟中,您將建立新的自我簽署 SSL 憑證,以用作 STS 憑證。您將使用兩種檔案格式來建立新的憑證:

  • .pfx (含有私密金鑰)。

  • .cer (不包含私密金鑰)。

執行這項作業時,您將使用 IIS 管理員 (如下圖所示)。

本圖顯示要按一下 IIS 管理員中的哪個位置以建立自我簽署憑證

此圖說明 IIS 管理員

若要產生個人資訊交換 (.pfx) 檔案格式的自我簽署憑證,然後將它匯出為 .cer 檔,請使用 IIS 嵌入式管理單元以依照下列步驟進行:

將自我簽署憑證建立為 .pfx 檔
  1. 在 SharePoint Server 伺服器陣列的網頁伺服器上,按一下 [開始] -> [系統管理工具] -> [Internet Information Services (IIS) Manager]。

  2. 按一下您伺服器的名稱。

  3. 在詳細資料窗格中,按兩下 IIS 下的 [伺服器憑證]。

  4. 在 [動作] 窗格中,按一下 [建立自我簽署憑證]。

  5. 在 [指定好記的名稱] 頁面上,指定好記的憑證名稱,然後按一下 [確定]。

     

    編輯圖示

    如果您正在設定 SharePoint 混合式環境,請將憑證好記名稱記錄在工作表之表 4a 的 [STS 憑證好記名稱] 列中。

  6. 在詳細資料窗格中,以滑鼠右鍵按一下新的憑證,然後按一下 [匯出]。

  7. 在 [匯出憑證] 的 [匯出至] 中,指定儲存憑證 .pfx 檔的路徑和名稱,並且在 [密碼] 和 [確認密碼] 中輸入密碼,這將建立包含私密金鑰的 .pfx 檔。

     

    編輯圖示

    如果您正在設定 SharePoint 混合式環境,請執行下列動作:

    • 將此憑證的位置和檔案名稱記錄到工作表之表 4a 的 [STS 憑證路徑\檔案名稱 (*.pfx 檔案)] 列。

    • 將密碼記錄到工作表之表 4a 的 [STS 憑證密碼] 列。

  8. 按一下 [完成],然後按兩次 [確定]。

將自我簽署憑證匯出為 .cer 檔
  1. 在相同伺服器上,按一下 [開始] -> [系統管理工具] -> [Internet Information Services (IIS) Manager]。

  2. 按一下您伺服器的名稱。

  3. 在詳細資料窗格中,按兩下 IIS 下的 [伺服器憑證]。

  4. 在最後一個步驟建立的新憑證上按一下滑鼠右鍵,然後按一下 [檢視]。

     

    編輯圖示

    如果您正在設定 SharePoint 混合式環境,則憑證好記名稱是在工作表之表 4a 的 [STS 憑證好記名稱] 列中。

  5. 在 [詳細資料] 索引標籤上,按一下 [複製到檔案]。

  6. 按一下精靈上的 [下一步]。

  7. 在 [匯出私密金鑰] 頁面上,確定已選取 [否,不要匯出私密金鑰],然後按 [下一步]。

  8. 在 [匯出檔案格式] 頁面上,選擇 [DER 編碼二位元 X.509 (.CER)],然後按 [下一步]。

  9. 在 [匯出憑證] 頁面上,輸入 .cer 檔案的路徑和檔案名稱,然後按 [下一步]。

     

    編輯圖示

    如果您正在設定 SharePoint 混合式環境,請將此憑證的路徑和檔案名稱記錄在工作表之表 4a 的 [STS 憑證路徑\檔案名稱 (*.cer 檔案)] 列中。

  10. 按一下 [完成],然後按兩次 [確定]。

若要取代 SharePoint Server 2013 伺服器陣列中每部伺服器上的 STS 憑證,您必須依顯示的順序完成下列兩個程序:

  • 取代憑證存放區中的 STS 憑證。

  • 更新 SharePoint Security Token Service (STS) 身分識別提供者的設定。

若要取代 Windows 憑證存放區中的 STS 憑證,請遵循 SharePoint Server 2013 伺服器陣列中每部伺服器上的下列步驟:

取代憑證存放區中的 STS 憑證
  1. 確認執行此程序的使用者帳戶是伺服器陣列管理員群組的成員。

  2. 按一下 [開始] > [執行]。

  3. 輸入 mmc,然後按 ENTER 鍵。若出現 [使用者帳戶控制] 對話方塊,請按一下 [是]

  4. 移至 [檔案] > [新增/移除嵌入式管理單元] > [憑證] > [新增] > [電腦帳戶] > [下一步] > [完成],然後按一下 [確定]。

  5. 按一下加號展開 [憑證],以滑鼠右鍵按一下 [信任的根憑證授權單位] > [所有工作] > [匯入]。

  6. 按 [下一步]。隨即顯示 [歡迎使用憑證匯入精靈] 對話方塊。

  7. 按一下 [瀏覽]。選取您要匯入的 *.cer 檔案名稱,按一下 [開啟舊檔],然後按 [下一步]。

  8. 在 [憑證存放區] 下,按一下 [將所有憑證放入以下的存放區],確定已選擇 [信任的根憑證授權單位] (如下圖所示),然後按 [下一步]。

    說明要選擇之憑證存放區的名稱
  9. 按一下 [完成]。

  10. 在 SharePoint Server 伺服器陣列的其他前端 Web 和應用程式伺服器上,重複步驟 1 到 9。

在此程序中,您將更新 STS 服務的設定。

注意 注意:
請在維護期間執行此程序,因為取代每部伺服器陣列伺服器上的 STS 憑證之後,需要重新啟動 IIS 和 SharePoint 計時器服務。這會中斷 SharePoint Server 2013 伺服器陣列的服務。
使用 SharePoint 2013 管理命令介面 取代 STS 憑證
  1. 登入 SharePoint Server 伺服器陣列中的伺服器。

  2. 確認符合下列成員資格:

    • SQL Server 執行個體上的 securityadmin 固定伺服器角色。

    • 待更新之所有資料庫上的 db_owner 固定資料庫角色。

    • 正在執行 Windows PowerShell Cmdlet 之所在伺服器上的管理員群組。

    系統管理員可使用 Add-SPShellAdmin Cmdlet 以授權使用 SharePoint 2013 Cmdlet。

    注意事項 附註:
    若沒有權限,請聯絡您的安裝程式系統管理員或 SQL Server 管理員,以要求權限。如需 Windows PowerShell 權限的其他資訊,請參閱<Add-SPShellAdmin>。
  3. 啟動 SharePoint 2013 管理命令介面。

    • Windows Server 2008 R2:

      • 在 [開始] 功能表上,依序按一下 [所有程式]、[Microsoft SharePoint 2013 產品] 和 [SharePoint 2013 管理命令介面]。

    • Windows Server 2012:

      • 在 [開始] 畫面上,按一下 [SharePoint 2013 管理命令介面]。

        SharePoint 2013 管理命令介面 未出現在 [開始] 畫面中:

      • 在 [我的電腦] 上按滑鼠右鍵,然後依序按一下 [所有程式]、[SharePoint 2013 管理命令介面]。

    如需如何與Windows Server 2012互動的詳細資訊,請參閱< Windows Server 2012 R2 和 Windows Server 2012 一般管理工作及瀏

  4. 將複製您組織特有,然後將其貼入 [記事本] 之類的文字編輯器的下列變數宣告的下列值。

    • <path to replacement certificate (.pfx file)>
      e.g. c:\certificates\NewSTScert.pfx

    • <certificate password>

     

    編輯圖示

    如果您正在設定 SharePoint 混合式環境,則下列變數會列在工作表之表 4a 的這些列中:

    • STS 憑證路徑\檔案名稱 (*pfx 檔案)

    • STS 憑證密碼

  5. 在 Windows PowerShell 命令提示字元處,貼入下列命令:

    $pfxPath = "<path to replacement certificate (.pfx file)>"
    $pfxPass = "<certificate password>"
    $stsCertificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 $pfxPath, $pfxPass, 20
    Set-SPSecurityTokenServiceConfig -ImportSigningCertificate $stsCertificate
    certutil -addstore -enterprise -f -v root $stsCertificate
    iisreset
    net stop SPTimerV4
    net start SPTimerV4
    
    注意事項 附註:
    如果成功,這些命令將不會顯示任何輸出。
  6. 若要驗證這個步驟,請於伺服器陣列的每個伺服器上,於 Windows PowerShell 命令提示字元處輸入:

    $stsCertificate |fl
    

    在螢幕的輸出中,確定憑證有好記的新名稱。

     

    編輯圖示

    如果您正在設定 SharePoint 混合式環境,則此憑證的好記名稱應該列在工作表之表 4a 的 [STS 憑證好記名稱] 列中。

  7. 在 SharePoint Server 2013 伺服器陣列的其餘每部前端 Web 和應用程式伺服器上,重複步驟 1 到 6。

如需如何取代SharePoint Server 2013伺服器陣列中的 STS 憑證的詳細資訊,請參閱 < Configure security token service (https://go.microsoft.com/fwlink/?LinkId=392352)。

如果您不是在設定 SharePoint 混合式環境,則表示已完成。否則,您也需要將 STS 憑證上傳至 Office 365 承租人。

https://technet.microsoft.com/zh-tw/library/jj838715.aspx
顯示: