Austauschen von vertrauenswürdigen Zertifikaten zwischen Farmen in SharePoint Server
GILT FÜR:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
In SharePoint Server kann eine Farm eine Verbindung mit einer Dienstanwendung herstellen und diese verwenden, obwohl diese in einer anderen SharePoint Server-Farm veröffentlicht wird. Dazu müssen die Farmen vertrauenswürdige Zertifikate austauschen.
Bei diesem Austausch müssen beide Farmen beteiligt sein, damit die Dienstanwendung gemeinsam genutzt werden kann.
Weitere Informationen zur farmübergreifenden Freigabe von Dienstanwendungen finden Sie unter Freigeben von Dienstanwendungen für mehrere Farmen in SharePoint Server.
Sie müssen Microsoft PowerShell-Befehle zum Exportieren und Kopieren der Zertifikate zwischen Farmen verwenden. Nachdem die Zertifikate exportiert und kopiert wurden, können Sie entweder PowerShell-Befehle oder die Zentraladministration zum Verwalten der Vertrauensstellungen innerhalb der Farm verwenden.
In diesen Anleitungen wird von den folgenden Kriterien ausgegangen:
- Auf den Servern, die für diese Verfahren verwendet werden, wird PowerShell ausgeführt.
- Der Administrator wählt bei allen Vorgangsschritten denselben Server in den Farmen aus bzw. verwendet denselben Server.
- Wenn die Benutzerkontensteuerung (User Account Control, UAC) aktiviert ist, müssen Sie die PowerShell-Befehle mit erhöhten Rechten ausführen.
Bevor Sie diesen Vorgang starten, sehen Sie sich die Informationen zu den Voraussetzungen unter Freigeben von Dienstanwendungen für mehrere Farmen in SharePoint Server an.
Exportieren und Kopieren von Zertifikaten
Ein Administrator der Farm, die den Dienst in Anspruch nimmt, muss der Veröffentlichungsfarm zwei vertrauenswürdige Zertifikate bereitstellen: ein Stammzertifikat und ein Zertifikat des Sicherheitstokendiensts (Security Token Service, STS). Ein Administrator der Veröffentlichungsfarm muss der Farm, die den Dienst in Anspruch nimmt, ein Stammzertifikat bereitstellen.
Zertifikate können nur mit Windows PowerShell 3.0 oder höher exportiert und kopiert werden.
So exportieren Sie das Stammzertifikat aus der Farm, die den Dienst in Anspruch nimmt
Vergewissern Sie sich auf einem Server, auf dem SharePoint Server in der Farm, die den Dienst in Anspruch nimmt, ausgeführt wird, dass Sie über die folgenden Mitgliedschaften verfügen:
- Feste Serverrolle securityadmin auf der SQL Server-Instanz.
- Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.
- Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.
- Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.
Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.
Hinweis
[!HINWEIS] Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.
Führen Sie in der SharePoint-Verwaltungsshell die folgenden Befehle aus:
$CFrootCert = (Get-SPCertificateAuthority).RootCertificate [System.IO.File]::WriteAllBytes('C:\ConsumingFarmRoot.cer', $CFrootCert.Export("Cert"))
Dabei
C:\ConsumingFarmRoot.cer
ist der Pfad des Stammzertifikats.
So exportieren Sie das STS-Zertifikat aus der Farm, die den Dienst in Anspruch nimmt
Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:
- Feste Serverrolle securityadmin auf der SQL Server-Instanz.
- Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.
- Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.
- Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.
Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.
Hinweis
[!HINWEIS] Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.
Führen Sie in der SharePoint-Verwaltungsshell die folgenden Befehle aus:
$stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate [System.IO.File]::WriteAllBytes('C:\ConsumingFarmSTS.cer', $stsCert.Export("Cert"))
Dabei
C:\ConsumingFarmSTS.cer
ist der Pfad des STS-Zertifikats.
So exportieren Sie das Stammzertifikat aus der Veröffentlichungsfarm
Vergewissern Sie sich auf einem Server, auf dem SharePoint Server in der Veröffentlichungsfarm ausgeführt wird, dass Sie über die folgenden Mitgliedschaften verfügen:
- Feste Serverrolle securityadmin auf der SQL Server-Instanz.
- Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.
- Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.
- Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.
Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.
Hinweis
[!HINWEIS] Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.
Führen Sie in der SharePoint-Verwaltungsshell die folgenden Befehle aus:
$PFrootCert = (Get-SPCertificateAuthority).RootCertificate [System.IO.File]::WriteAllBytes('C:\PublishingFarmRoot.cer', $PFrootCert.Export("Cert"))
Dabei
C:\PublishingFarmRoot.cer
ist der Pfad des Stammzertifikats.
So kopieren Sie die Zertifikate
- Kopieren Sie das Stammzertifikat und das STS-Zertifikat vom Server in der Farm, die den Dienst in Anspruch nimmt, auf den Server in der Veröffentlichungsfarm.
- Kopieren Sie das Stammzertifikat vom Server in der Veröffentlichungsfarm auf einen Server in der Farm, die den Dienst in Anspruch nimmt.
Verwalten von vertrauenswürdigen Zertifikaten mithilfe von PowerShell
Die Verwaltung von vertrauenswürdigen Zertifikaten innerhalb einer Farm umfasst das Einrichten von Vertrauensstellungen. In diesem Abschnitt wird das Einrichten von Vertrauensstellungen sowohl in der Farm, die den Dienst in Anspruch nimmt, als auch in der veröffentlichenden Farm mithilfe von PowerShell-Befehlen erläutert.
Herstellen einer Vertrauensstellung in der Farm, die den Dienst in Anspruch nimmt
Zum Herstellen einer Vertrauensstellung in der Farm, die den Dienst in Anspruch nimmt, müssen Sie das Stammzertifikat, das aus der Veröffentlichungsfarm kopiert wurde, importieren und eine vertrauenswürdige Stammzertifizierungsstelle erstellen.
So importieren Sie das Stammzertifikat und erstellen eine vertrauenswürdige Stammzertifizierungsstelle in der Farm, die den Dienst in Anspruch nimmt
Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:
- Feste Serverrolle securityadmin auf der SQL Server-Instanz.
- Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.
- Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.
- Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.
Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.
Hinweis
[!HINWEIS] Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.
Führen Sie in der SharePoint-Verwaltungsshell die folgenden Befehle aus:
$trustCert = Get-PfxCertificate "<C:\PublishingFarmRoot.cer>" New-SPTrustedRootAuthority "<PublishingFarm>" -Certificate $trustCert
Wobei Folgendes gilt:
- <C:\PublishingFarmRoot.cer> ist der Pfad des Stammzertifikats, das Sie aus der Veröffentlichungsfarm in die Farm, die den Dienst in Anspruch nimmt, kopiert haben.
- <PublishingFarm> ist ein eindeutiger Name, der die Veröffentlichungsfarm bezeichnet. Jede vertrauenswürdige Stammzertifizierungsstelle benötigt einen eindeutigen Namen.
Herstellen einer Vertrauensstellung in der Veröffentlichungsfarm
Zum Herstellen einer Vertrauensstellung in der Veröffentlichungsfarm müssen Sie das Stammzertifikat, das aus der Farm, die den Dienst in Anspruch nimmt, kopiert wurde, importieren und eine vertrauenswürdige Stammzertifizierungsstelle erstellen. Sie müssen dann das STS-Zertifikat importieren, das aus der Farm, die den Dienst in Anspruch nimmt, kopiert wurde und einen vertrauenswürdigen Tokenherausgeber erstellen.
So importieren Sie das Stammzertifikat und erstellen eine vertrauenswürdige Stammzertifizierungsstelle in der Veröffentlichungsfarm
Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:
- Feste Serverrolle securityadmin auf der SQL Server-Instanz.
- Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.
- Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.
- Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.
Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.
Hinweis
[!HINWEIS] Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.
Führen Sie in der SharePoint-Verwaltungsshell die folgenden Befehle aus:
$trustCert = Get-PfxCertificate "<C:\ConsumingFarmRoot.cer>" New-SPTrustedRootAuthority "<ConsumingFarm>" -Certificate $trustCert
Wobei Folgendes gilt:
- <C:\ConsumingFarmRoot.cer> ist der Name und das Verzeichnis des Stammzertifikats, das Sie aus der Farm, die den Dienst in Anspruch nimmt, in die Veröffentlichungsfarm kopiert haben.
- <ConsumingFarm> ist ein eindeutiger Name, der die Farm, die den Dienst in Anspruch nimmt, bezeichnet. Jede vertrauenswürdige Stammzertifizierungsstelle benötigt einen eindeutigen Namen.
So importieren Sie das STS-Zertifikat und erstellen einen vertrauenswürdigen Tokenherausgeber in der Veröffentlichungsfarm
Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:
- Feste Serverrolle securityadmin auf der SQL Server-Instanz.
- Feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden sollen.
- Gruppe "Administratoren" auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.
- Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.
Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.
Hinweis
[!HINWEIS] Wenn Sie über keine Berechtigungen verfügen, kontaktieren Sie Ihren Setup-Administrator oder SQL Server-Administrator, um die Berechtigungen anzufordern. Weitere Informationen zu PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.
Führen Sie in der SharePoint-Verwaltungsshell die folgenden Befehle aus:
$stsCert = Get-PfxCertificate "<c:\ConsumingFarmSTS.cer>" New-SPTrustedServiceTokenIssuer "<ConsumingFarm>" -Certificate $stsCert
Wobei Folgendes gilt:
- <C:\ConsumingFarmSTS.cer> ist der Pfad des STS-Zertifikats, das Sie aus der Farm, die den Dienst in Anspruch nimmt, in die Veröffentlichungsfarm kopiert haben.
- <ConsumingFarm> ist ein eindeutiger Name, der die Farm, die den Dienst in Anspruch nimmt, bezeichnet. Jeder vertrauenswürdige Diensttokenherausgeber benötigt einen eindeutigen Namen.
Weitere Informationen zu diesen PowerShell-Cmdlets finden Sie in den folgenden Artikeln:
- Get-SPCertificateAuthority
- Get-SPSecurityTokenServiceConfig
- New-SPTrustedRootAuthority
- New-SPTrustedServiceTokenIssuer
- Get-PfxCertificate
Informationen zur Verwendung eines Skripts zum Automatisieren eines Teils dieses Prozesses finden Sie unter Austauschen vertrauenswürdiger Zertifikate zwischen Farmen.
Verwalten von vertrauenswürdigen Zertifikaten mithilfe der Zentraladministration
Die Vertrauensstellungen in einer Farm können nur verwaltet werden, nachdem die relevanten Zertifikate in die Farm exportiert und kopiert wurden.
So errichten Sie eine Vertrauensstellung mithilfe der Zentraladministration
Vergewissern Sie sich, dass das Benutzerkonto, mit dem dieses Verfahren ausgeführt wird, Mitglied der SharePoint-Gruppe "Farmadministratoren" ist.
Klicken Sie unter die Website für die SharePoint-Zentraladministration auf Sicherheit.
Klicken Sie auf der Seite Sicherheit im Abschnitt Allgemeine Sicherheit auf Vertrauensstellung verwalten.
Klicken Sie auf der Seite der Vertrauensstellung auf dem Menüband auf Neu.
Führen Sie auf der Seite zum Einrichten einer Vertrauensstellung die folgenden Aktionen aus:
Geben Sie einen Namen an, der den Zweck der Vertrauensstellung beschreibt.
Wechseln Sie zum Zertifikat der Stammzertifizierungsstelle für die Vertrauensstellung, und wählen Sie dieses aus. Hierbei muss es sich um das Zertifikat der Stammzertifizierungsstelle handeln, das aus der anderen Farm mithilfe von Microsoft PowerShell exportiert wurde, wie unter Exportieren und Kopieren von Zertifikaten beschrieben.
Falls Sie diese Aufgabe in der Veröffentlichungsfarm ausführen, aktivieren Sie das Kontrollkästchen für Vertrauensstellung bereitstellen. Geben Sie einen beschreibenden Namen für den Tokenherausgeber an, und wechseln Sie zu dem STS-Zertifikat, das von der verwendenden Farm wie in Exportieren und Kopieren von Zertifikaten beschrieben kopiert wurde, und wählen Sie es aus.
Klicken Sie auf OK.
Wenn die Vertrauensstellung eingerichtet ist, können Sie die Beschreibung des Tokenherausgebers oder die verwendeten Zertifikate ändern, indem Sie auf die Vertrauensstellung klicken und dann auf Bearbeiten klicken. Sie können eine Vertrauensstellung löschen, indem Sie darauf klicken und dann auf Löschen klicken.
Siehe auch
Konzepte
Planen der Benutzerauthentifizierungsmethoden in SharePoint Server
Weitere Ressourcen
Erstellen einer Webanwendung in SharePoint Server
Konfigurieren von SAML-basierter Anspruchsauthentifizierung mit AD FS in SharePoint Server