本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

在 SharePoint 2013 中交換伺服器陣列之間的信任憑證

 

適用版本:SharePoint Foundation 2013, SharePoint Server 2013

上次修改主題的時間:2016-12-16

摘要:了解如何在 SharePoint 2013 中的發佈伺服器陣列及使用伺服器陣列之間交換信任憑證。

在 SharePoint 2013 中,SharePoint 伺服器陣列可以連線並使用在其他 SharePoint 2013 伺服器陣列上發佈的服務應用程式。為此,伺服器陣列必須交換信任憑證。

這兩個伺服器陣列必須都參與此交換,服務應用程式共用才能運作。

如需如何跨伺服器陣列共用服務應用程式的詳細資訊,請參閱<跨 SharePoint 2013 伺服器陣列共用服務應用程式>。

您必須使用 Windows PowerShell 3.0 命令以在伺服器陣列之間匯出並複製憑證。匯出並複製憑證後,您可以使用 Windows PowerShell 3.0 命令或管理中心在伺服器陣列內管理信任。

此處的指示假設下列條件成立:

  • 用於下列程序的伺服器正在執行 Windows PowerShell 3.0。

  • 在程序的所有步驟中,管理員在每個伺服器陣列中都將選取並使用相同的伺服器。

  • 如果開啟了使用者帳戶控制 (UAC),則必須使用提升的權限執行 Windows PowerShell 3.0 命令。

本文內容:

注意事項 附註:
由於 SharePoint 2013 在 Internet Information Services (IIS) 中是以網站形式來執行,因此系統管理員和使用者需仰賴瀏覽器所提供的協助工具功能。SharePoint 2013 可支援任何受支援瀏覽器所提供的協助工具功能。如需詳細資訊,請參閱下列資源:

開始此項作業之前,請檢閱下列先決條件相關資訊:

使用伺服器陣列的管理員必須提供兩個信任憑證給發佈伺服器陣列:根憑證與 Security Token Service (STS) 憑證。發佈伺服器陣列的管理員必須提供根憑證給使用伺服器陣列。

您只能使用 Windows PowerShell 3.0 匯出並複製憑證。

從使用伺服器陣列中匯出根憑證
  1. 在使用伺服器陣列中執行 SharePoint 2013 的伺服器上,確認具備下列成員資格:

    • securityadmin 為 SQL Server 執行個體的固定伺服器角色。

    • 所有要更新之資料庫上的 db_owner 固定資料庫角色。

    • 正在執行 Windows PowerShell Cmdlet 之所在伺服器上的管理員群組。

    • 新增超越上述最低要求的必要成員資格。

    管理員可以使用 Add-SPShellAdmin Cmdlet 授與使用 SharePoint 2013 Cmdlet 的權限。

    注意事項 附註:
    如果您不具備上述權限,請連絡安裝程式系統管理員或 SQL Server 系統管理員要求權限。如需 Windows PowerShell 權限的其他資訊,請參閱<Add-SPShellAdmin>。
  2. 在 [開始] 功能表上,按一下 [所有程式]。

  3. 按一下 [Microsoft SharePoint 2013 產品]。

  4. 按一下 [SharePoint 2013 管理命令介面]。

  5. 在 Windows PowerShell 命令提示字元處輸入下列命令:

    $rootCert = (Get-SPCertificateAuthority).RootCertificate
    
    $rootCert.Export("Cert") | Set-Content <C:\ConsumingFarmRoot.cer> -Encoding byte
    

    其中:

    • <C:\ConsumingFarmRoot.cer> 是根憑證的路徑。

從使用伺服器陣列中匯出 STS 憑證
  1. 確認具備下列成員資格:

    • SQL Server 執行個體上的 securityadmin 固定伺服器角色。

    • 所有要更新之資料庫上的 db_owner 固定資料庫角色。

    • 正在執行 Windows PowerShell Cmdlet 之所在伺服器上的管理員群組。

    • 新增超越上述最低要求的必要成員資格。

    管理員可以使用 Add-SPShellAdmin Cmdlet 授與使用 SharePoint 2013 Cmdlet 的權限。

    注意事項 附註:
    如果您不具備上述權限,請連絡安裝程式系統管理員或 SQL Server 系統管理員要求權限。如需 Windows PowerShell 權限的其他資訊,請參閱<Add-SPShellAdmin>。
  2. 在 [開始] 功能表上,按一下 [所有程式]。

  3. 按一下 [Microsoft SharePoint 2013 產品]。

  4. 按一下 [SharePoint 2013 管理命令介面]。

  5. 在 Windows PowerShell 命令提示字元處輸入下列命令:

    $stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate
    
    $stsCert.Export("Cert") | Set-Content <C:\ConsumingFarmSTS.cer> -Encoding byte
    

    其中:

    • <C:\ConsumingFarmSTS.cer> 是 STS 憑證的路徑。

從發佈伺服器陣列中匯出根憑證
  1. 在發佈伺服器陣列中執行 SharePoint 2013 的伺服器上,確認具備下列成員資格:

    • securityadmin 為 SQL Server 執行個體的固定伺服器角色。

    • 所有要更新之資料庫上的 db_owner 固定資料庫角色。

    • 正在執行 Windows PowerShell Cmdlet 之所在伺服器上的管理員群組。

    • 新增超越上述最低要求的必要成員資格。

    管理員可以使用 Add-SPShellAdmin Cmdlet 授與使用 SharePoint 2013 Cmdlet 的權限。

    注意事項 附註:
    如果您不具備上述權限,請連絡安裝程式系統管理員或 SQL Server 系統管理員要求權限。如需 Windows PowerShell 權限的其他資訊,請參閱<Add-SPShellAdmin>。
  2. 在 [開始] 功能表上,按一下 [所有程式]。

  3. 按一下 [Microsoft SharePoint 2013 產品]。

  4. 按一下 [SharePoint 2013 管理命令介面]。

  5. 在 Windows PowerShell 命令提示字元處輸入下列命令:

    $rootCert = (Get-SPCertificateAuthority).RootCertificate
    
    $rootCert.Export("Cert") | Set-Content <C:\PublishingFarmRoot.cer> -Encoding byte
    

    其中:

    • <C:\PublishingFarmRoot.cer> 是根憑證的路徑。

複製憑證
  1. 將根憑證與 STS 憑證從使用伺服器陣列中的伺服器複製至發佈伺服器陣列中的伺服器。

  2. 將根憑證從發佈伺服器陣列中的伺服器複製至使用伺服器陣列中的伺服器。

在伺服器陣列中管理信任憑證涉及到建立信任。本節說明如何使用 Windows PowerShell 3.0 命令,在使用伺服器陣列及發佈伺服器陣列上建立信任。

若要在使用伺服器陣列上建立信任,您必須匯入從發佈伺服器陣列複製的根憑證,然後建立受信任的根授權單位。

在使用伺服器陣列上匯入根憑證並建立受信任的根授權單位
  1. 確認具備下列成員資格:

    • SQL Server 執行個體上的 securityadmin 固定伺服器角色。

    • 所有要更新之資料庫上的 db_owner 固定資料庫角色。

    • 正在執行 Windows PowerShell Cmdlet 之所在伺服器上的管理員群組。

    • 新增超越上述最低要求的必要成員資格。

    管理員可以使用 Add-SPShellAdmin Cmdlet 授與使用 SharePoint 2013 Cmdlet 的權限。

    注意事項 附註:
    如果您不具備上述權限,請連絡安裝程式系統管理員或 SQL Server 系統管理員要求權限。如需 Windows PowerShell 權限的其他資訊,請參閱<Add-SPShellAdmin>。
  2. 在 [開始] 功能表上,按一下 [所有程式]。

  3. 按一下 [Microsoft SharePoint 2013 產品]。

  4. 按一下 [SharePoint 2013 管理命令介面]。

  5. 在 Windows PowerShell 命令提示字元處輸入下列命令:

    $trustCert = Get-PfxCertificate <C:\PublishingFarmRoot.cer>
    
    New-SPTrustedRootAuthority <PublishingFarm> -Certificate $trustCert
    

    其中:

    • <C:\PublishingFarmRoot.cer> 是您從發佈伺服器陣列複製到使用伺服器陣列的根憑證的路徑。

    • <發佈伺服器陣列> 是識別發佈伺服器陣列的唯一名稱。每個受信任的根授權單位都必須有唯一的名稱。

若要在發佈伺服器陣列上建立信任,必須匯入從使用伺服器陣列複製的根憑證並建立受信任的根授權單位。然後必須匯入從使用伺服器陣列複製的 STS 憑證並建立受信任的服務 Token 發行者。

在發佈伺服器陣列上匯入根憑證並建立受信任的根授權單位
  1. 確認具備下列成員資格:

    • SQL Server 執行個體上的 securityadmin 固定伺服器角色。

    • 所有要更新之資料庫上的 db_owner 固定資料庫角色。

    • 正在執行 Windows PowerShell Cmdlet 之所在伺服器上的管理員群組。

    • 新增超越上述最低要求的必要成員資格。

    管理員可以使用 Add-SPShellAdmin Cmdlet 授與使用 SharePoint 2013 Cmdlet 的權限。

    注意事項 附註:
    如果您不具備上述權限,請連絡安裝程式系統管理員或 SQL Server 系統管理員要求權限。如需 Windows PowerShell 權限的其他資訊,請參閱<Add-SPShellAdmin>。
  2. 在 [開始] 功能表上,按一下 [所有程式]。

  3. 按一下 [Microsoft SharePoint 2013 產品]。

  4. 按一下 [SharePoint 2013 管理命令介面]。

  5. 在 Windows PowerShell 命令提示字元處輸入下列命令:

    $trustCert = Get-PfxCertificate <C:\ConsumingFarmRoot.cer>
    
    New-SPTrustedRootAuthority <ConsumingFarm> -Certificate $trustCert
    

    其中:

    • <C:\ConsumingFarmRoot.cer> 為從使用伺服器陣列複製到發佈伺服器陣列之根憑證的名稱及位置。

    • <ConsumingFarm> 是識別使用伺服器陣列的唯一名稱。每個受信任根授權單位都必須有唯一名稱。

在發佈伺服器陣列上匯入 STS 憑證並建立受信任的服務 Token 發行者
  1. 確認具備下列成員資格:

    • SQL Server 執行個體上的 securityadmin 固定伺服器角色。

    • 所有要更新之資料庫上的 db_owner 固定資料庫角色。

    • 正在執行 Windows PowerShell Cmdlet 之所在伺服器上的管理員群組。

    • 新增超越上述最低要求的必要成員資格。

    管理員可以使用 Add-SPShellAdmin Cmdlet 授與使用 SharePoint 2013 Cmdlet 的權限。

    注意事項 附註:
    如果您不具備上述權限,請連絡安裝程式系統管理員或 SQL Server 系統管理員要求權限。如需 Windows PowerShell 權限的其他資訊,請參閱<Add-SPShellAdmin>。
  2. 在 [開始] 功能表上,按一下 [所有程式]。

  3. 按一下 [Microsoft SharePoint 2013 產品]。

  4. 按一下 [SharePoint 2013 管理命令介面]。

  5. 在 Windows PowerShell 命令提示字元處輸入下列命令:

    $stsCert = Get-PfxCertificate 
    <c:\ConsumingFarmSTS.cer>
    
    New-SPTrustedServiceTokenIssuer <ConsumingFarm> -Certificate $stsCert
    

    其中:

    • <C:\ConsumingFarmSTS.cer> 是從使用伺服器陣列複製到發佈伺服器陣列之 STS 憑證的路徑。

    • <ConsumingFarm> 是識別使用伺服器陣列的唯一名稱。每個受信任的服務 Token 發行者都必須有唯一名稱。

其中:

如需這些 Windows PowerShell 3.0 Cmdlet 的詳細資訊,請參閱下列文章:

如需如何使用指令碼來自動化部分此程序的詳細資訊,請參閱<交換伺服器陣列之間的信任憑證 >(http://go.microsoft.com/fwlink/?LinkId=230666)。

只有將相關憑證匯出並複製到某個伺服器陣列之後,才可以在該伺服器陣列上管理信任。

使用管理中心建立信任
  1. 確認執行此程序的使用者帳戶為 SharePoint 伺服器陣列管理員群組的成員。

  2. 在 SharePoint 管理中心網站上,按一下 [安全性]。

  3. 在 [安全性] 頁面上,按一下 [一般安全性] 區段中的 [管理信任]。

  4. 在 [信任關係] 頁面的功能區上,按一下 [新增]。

  5. 在 [建立信任關係] 頁面上:

    1. 提供描述信任關係的用途名稱。

    2. 瀏覽至信任關係的根授權單位並且將其選取。根授權單位必須使用 Windows PowerShell 從另一個伺服器陣列匯出的根授權單位,例如<匯出並複製憑證>中所述。

    3. 如果您執行的是發佈伺服器陣列的工作,請選取 [提供信任關係] 核取方塊。輸入 Token 發行者的描述性名稱,然後瀏覽至從使用伺服器陣列複製的 STS 憑證並且將其選取,例如<匯出並複製憑證>中所述。

    4. 按一下 [確定]。

    建立信任關係後,按一下 [信任],然後再按一下 [編輯],您就可以修改 Token 發行者描述或所使用的憑證。按一下 [信任],然後再按一下 [刪除],即可刪除信任。

https://technet.microsoft.com/zh-tw/library/hh305235.aspx
顯示: