在服务器场之间交换信任证书 (SharePoint Server 2010)
适用于: SharePoint Foundation 2010, SharePoint Server 2010
上一次修改主题: 2016-11-30
在 Microsoft SharePoint Server 2010 中,SharePoint 场可以连接并使用在其他 SharePoint Server 2010 服务器场上发布的服务应用程序。为此,服务器场必须交换信任证书。
本文描述如何在发布服务器场和使用服务器场之间交换信任证书。请注意,这两个服务器场必须都参与此交换,服务应用程序共享才能实现。
重要
在开始共享服务应用程序之前,强烈建议您阅读跨服务器场共享服务应用程序 (SharePoint Server 2010) 和服务体系结构规划 (SharePoint Server 2010) 文章。
您必须使用 Windows PowerShell 2.0 命令以在服务器场之间导出和复制证书。导出和复制证书后,您可以使用 Windows PowerShell 2.0 命令或管理中心在服务器场内管理信任。
此处的说明假定满足以下条件:
用于这些过程的服务器运行 Windows PowerShell 2.0。
在过程的所有步骤中,管理员在每个服务器场中都将选择和使用相同的服务器。
如果启用了用户帐户控制 (UAC),则必须使用提升的特权运行 Windows PowerShell 2.0 命令。
本文内容:
导出和复制证书
使用 Windows Powershell 管理信任证书
使用管理中心管理信任证书
导出和复制证书
使用服务器场的管理员必须向发布服务器场提供两个信任证书:一个根证书和一个安全令牌服务 (STS) 证书。发布服务器场的管理员必须向使用服务器场提供根证书。
您只能使用 Windows PowerShell 2.0 导出和复制证书。
从使用服务器场导出根证书
在使用服务器场上运行 SharePoint Server 2010 的服务器上,确认您符合以下最低要求: 请参阅 Add-SPShellAdmin。
在“开始”菜单上,单击“管理工具”。
单击“SharePoint 2010 Management Shell”。
在 Windows PowerShell 命令提示符处,键入以下各项命令:
$rootCert = (Get-SPCertificateAuthority).RootCertificate $rootCert.Export("Cert") | Set-Content <C:\ConsumingFarmRoot.cer> -Encoding byte
其中,<C:\ConsumingFarmRoot.cer> 是根证书的路径。
从使用服务器场导出 STS 证书
在 Windows PowerShell 命令提示符处,键入以下命令:
$stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate $stsCert.Export("Cert") | Set-Content <C:\ConsumingFarmSTS.cer> -Encoding byte
其中,<C:\ConsumingFarmSTS.cer> 是 STS 证书的路径。
从发布服务器场导出根证书
在发布服务器场上运行 SharePoint Server 2010 的服务器上,确认您符合以下最低要求: 请参阅 Add-SPShellAdmin。
在“开始”菜单上,单击“管理工具”。
单击“SharePoint 2010 Management Shell”。
在 Windows PowerShell 命令提示符处,键入以下命令:
$rootCert = (Get-SPCertificateAuthority).RootCertificate $rootCert.Export("Cert") | Set-Content <C:\PublishingFarmRoot.cer> -Encoding byte
其中,<C:\PublishingFarmRoot.cer> 是根证书的路径。
复制证书
将根证书和 STS 证书从使用服务器场中的服务器复制到发布服务器场中的服务器。
将根证书从发布服务器场中的服务器复制到使用服务器场中的服务器。
使用 Windows Powershell 管理信任证书
在服务器场内管理信任证书涉及到建立信任。这一节描述如何使用 Windows PowerShell 2.0 命令,在使用服务器场和发布服务器场上建立信任。
为使用服务器场建立信任
若要为使用服务器场建立信任,必须导入从发布服务器场复制的根证书并创建信任根证书颁发机构。
在使用服务器场导入根证书并创建信任根证书颁发机构
在使用服务器场中的服务器上的 Windows PowerShell 命令提示符处,键入以下命令:
$trustCert = Get-PfxCertificate <C:\PublishingFarmRoot.cer> New-SPTrustedRootAuthority <PublishingFarm> -Certificate $trustCert
其中:
<C:\PublishingFarmRoot.cer> 是您从发布服务器场复制到使用服务器场的根证书的路径。
<PublishingFarm"> 是标识发布服务器场的唯一名称。每个信任根证书颁发机构都必须有唯一的名称。
为发布服务器场建立信任
若要为发布服务器场建立信任,必须导入从使用服务器场复制的根证书并创建信任根证书颁发机构。然后必须导入从使用服务器场复制的 STS 证书并创建信任服务令牌颁发机构。
在发布服务器场导入根证书并创建信任根证书颁发机构
在发布服务器场中的服务器上,在 Windows PowerShell 命令提示符处,键入以下命令:
$trustCert = Get-PfxCertificate <C:\ConsumingFarmRoot.cer> New-SPTrustedRootAuthority <ConsumingFarm> -Certificate $trustCert
其中:
<C:\ConsumingFarmRoot.cer> 为从使用方服务器场复制到发布方服务器场的根证书的路径。
<ConsumingFarm> 是标识使用服务器场的唯一名称。每个信任根证书颁发机构都必须有唯一的名称。
在发布服务器场导入 STS 证书并创建信任服务令牌颁发机构
在发布服务器场中的服务器上,在 Windows PowerShell 命令提示符处,键入以下命令:
$stsCert = Get-PfxCertificate <c:\ConsumingFarmSTS.cer> New-SPTrustedServiceTokenIssuer <ConsumingFarm> -Certificate $stsCert
其中:
<C:\ConsumingFarmSTS.cer> 是从使用服务器场复制到发布服务器场的 STS 证书的路径。
<ConsumingFarm> 是标识使用服务器场的唯一名称。每个信任服务令牌颁发机构都必须有唯一的名称。
有关这些 Windows PowerShell 2.0 cmdlets 的详细信息,请参阅以下文章:
使用管理中心管理信任证书
只有将相关证书导出并复制到某个服务器场之后,才可以在该服务器场上管理信任。
使用管理中心建立信任
确认执行此过程的用户帐户是 SharePoint 组“Farm Administrators”的成员。
在 SharePoint 管理中心网站上,单击“安全性”。
在“安全性”页的“一般安全性”部分,单击“管理信任”。
在“信任关系”页的功能区中,单击“新建”。
在“建立信任关系”页上:
提供一个描述信任关系目的的名称。
通过浏览找到并选择信任关系的根证书颁发机构。它必须是通过使用 Windows PowerShell 从其他服务器场导出的根证书颁发机构(如导出和复制证书中所述)。
如果您在发布服务器场上执行此任务,则选中“提供信任关系”复选框。为令牌颁发机构键入一个说明性名称,通过浏览找到并选择从使用服务器场中复制的 STS 证书(如导出和复制证书中所述)。
单击“确定”。
建立信任关系之后,可以通过单击该信任然后单击“编辑”,修改令牌颁发机构描述或所使用的证书。可以通过单击某个信任然后单击“删除”,将其删除。
See Also
Concepts
配置声明身份验证 (SharePoint Server 2010)
配置安全令牌服务 (SharePoint Server 2010)
Other Resources
(已废弃)规划声明身份验证 (SharePoint Server 2010)
配置安全令牌服务 (SharePoint Foundation 2010)