续订证书
适用于:
2013 2016 2019 
Subscription Edition SharePoint in Microsoft 365
SharePoint 支持通过 Renew-SPCertificate PowerShell cmdlet 续订 SSL 证书。 这会基于现有证书的属性创建新的证书签名请求,并且是续订 SSL 证书的三步过程中的第一步。
通过操作创建 SSL 证书请求后,SharePoint 管理员必须将证书请求提交到其 SSL 证书颁发机构。 然后,SSL 证书颁发机构将根据请求生成已签名的证书,并将其返回给 SharePoint 管理员。 然后,SharePoint 管理员必须将 SSL 证书颁发机构提供的证书导入 SharePoint。
然后,SharePoint 会将导入的证书与证书请求操作生成的私钥配对。 然后,该证书可供 SharePoint 使用。
在证书续订操作过程中导入证书时,可以使用 cmdlet 指定 Replace switch 参数 Import-SPCertificate 。 这会告知 SharePoint 自动将续订证书的证书分配替换为新证书。
Renew-SPCertificate [-Identity] <SPServerCertificatePipeBind> -FriendlyName <String> [-CommonName <String>] [-AlternativeNames <String[]>] [-OrganizationalUnit <>] [-Organization <String>] [-Locality <String>] [-State <String>] [-Country <String>] [-Exportable] [-HashAlgorithm {Default | SHA256 | SHA384 | SHA512}] [-Path <String>] [-Force] [<CommonParameters>]
Renew-SPCertificate [-Identity] <SPServerCertificatePipeBind> -FriendlyName <String> [-CommonName <String>] [-AlternativeNames <String[]>] [-OrganizationalUnit <>] [-Organization <String>] [-Locality <String>] [-State <String>] [-Country <String>] [-Exportable] [-KeySize {0 | 2048 | 4096 | 8192 | 16384}] [-HashAlgorithm {Default | SHA256 | SHA384 | SHA512}] [-Path <String>] [-Force] [<CommonParameters>]
Renew-SPCertificate [-Identity] <SPServerCertificatePipeBind> -FriendlyName <String> [-CommonName <String>] [-AlternativeNames <String[]>] [-OrganizationalUnit <>] [-Organization <String>] [-Locality <String>] [-State <String>] [-Country <String>] [-Exportable] [-EllipticCurve {Default | nistP256 | nistP384 | nistP521}] [-HashAlgorithm {Default | SHA256 | SHA384 | SHA512}] [-Path <String>] [-Force] [<CommonParameters>]
cmdlet 参数为:
| 参数 | 说明 |
|---|---|
| Identity | 要续订的证书。 |
| FriendlyName | 证书的友好名称。 此名称可用于帮助你记住此证书的用途。 友好名称仅对 SharePoint 场管理员可见,对最终用户不可见。 |
| CommonName | 此证书将分配到的主要 DNS 域名或 IP 地址。 建议使用完全限定的域名 (FQDN) 。 如果未指定此参数,将使用要续订的证书的公用名称。 |
| AlternativeNames | 此证书将分配到的其他 DNS 域名或 IP 地址。 建议使用完全限定的域名 (FQDN) 。 如果未指定此参数,将使用要续订的证书的备用名称。 |
| OrganizationalUnit | 组织或公司内部门的名称。 如果未指定此参数,将使用要续订的证书的组织单位。 如果在要续订的证书中找不到组织单位,则将使用场的默认组织单位。 |
| 组织 | 组织或公司的合法注册名称。 如果未指定此参数,则将使用要续订的证书的组织。 如果在要续订的证书中找不到组织,将使用场的默认组织。 |
| 地区 | 组织合法所在的城市或地区的名称。 不要缩写名称。 如果未指定此参数,则将使用要续订的证书的区域。 如果在要续订的证书中找不到某个位置,则将使用场的默认位置。 |
| 状态 | 组织合法所在的州或省的名称。 不要缩写名称。 如果未指定此参数,则将使用要续订的证书的状态。 如果在要续订的证书中找不到状态,将使用场的默认状态。 |
| 国家/地区 | 你的组织合法位于的两个字母国家/地区代码。 这必须是 ISO 3166-1 alpha-2 国家/地区代码。 如果未指定此参数,将使用要续订的证书所在的国家/地区。 如果在要续订的证书中找不到国家/地区,则将使用场的默认国家/地区。 |
| 出口 | 指定是否可以导出证书的私钥。 如果未指定此参数,则部署到 SharePoint 场中每个服务器上的 Windows 证书存储的证书的私钥将不可导出,并且 SharePoint 将不允许从 SharePoint 管理界面中导出私钥。 |
| KeySize | 指定对证书使用 RSA 密钥算法,以及公共和专用 RSA 密钥的大小(以位为单位)。 与较小的密钥大小相比,较大的密钥大小可提供更多的加密强度,但它们在计算上也更加昂贵,并且需要更多时间来完成 SSL/TLS 连接。 如果不确定要使用的密钥大小,请选择 2048 。 不建议使用大于 4096 的密钥大小。 如果未指定此参数和 EllipticCurve 参数,则将使用要续订的证书的密钥算法和密钥大小/椭圆曲线。 如果在要续订的证书中找不到密钥算法和密钥大小/椭圆曲线,则将使用场的默认密钥算法和密钥大小/椭圆曲线。 |
| 椭圆形Curve | 指定对证书使用椭圆曲线加密密钥算法,以及公共和专用 ECC 密钥的椭圆曲线。 较大的椭圆曲线比较小的椭圆曲线提供更多的加密强度,但它们的计算成本也更高,并且需要更多时间来完成 SSL/TLS 连接。 如果不确定要使用哪个椭圆曲线,请选择 nistP256 。 不建议使用大于 nistP384 的椭圆曲线。 如果未指定此参数和 KeySize 参数,则将使用要续订的证书的密钥算法和密钥大小/椭圆曲线。 如果在要续订的证书中找不到密钥算法和密钥大小/椭圆曲线,则将使用场的默认密钥算法和密钥大小/椭圆曲线。 |
| HashAlgorithm | 指定证书签名的哈希算法,证书颁发机构将使用该算法来验证证书请求是否未被篡改。 与较小的哈希算法相比,较大的哈希算法提供的加密强度更高,但它们的计算成本也更高。 如果不确定要使用哪种哈希算法,请选择 SHA256 。 不建议使用大于 SHA384 的哈希算法。 如果未指定此参数,则将使用要续订的证书的哈希算法。 如果在要续订的证书中找不到受支持的哈希算法,则将使用场的默认哈希算法。 |
下面是 cmdlet 语法的示例:
Renew-SPCertificate -Identity "Contoso SharePoint (2020)" -FriendlyName "Contoso SharePoint (2021)" -Exportable -Path "\\server\fileshare\Contoso SharePoint 2021 Certificate Signing Request.txt"