Intercambiar certificados de confianza entre granjas de servidores en SharePoint Server

SE APLICA A:2013 2016 2019 Subscription Edition SharePoint en Microsoft 365

En SharePoint Server, una granja de servidores puede conectarse a una aplicación de servicio que se publica en otra granja de servidores de SharePoint Server y consumirla. Para hacerlo, las granjas de servidores necesitan intercambiar certificados de confianza.

Ambas granjas de servidores deben participar en este intercambio para que el uso compartido de las aplicaciones de servicio funcione.

Para más información sobre cómo compartir aplicaciones de servicio entre granjas de servidores, vea Compartir aplicaciones de servicio entre granjas de servidores en SharePoint Server.

Debe usar comandos de Microsoft PowerShell para exportar y copiar los certificados entre granjas de servidores. Una vez exportados y copiados los certificados, puede usar comandos de PowerShell o Administración central para administrar las confianzas dentro de la granja de servidores.

En estas instrucciones, se dan por supuesto los siguientes criterios:

• Que los servidores que se usan para estos procedimientos ejecutan PowerShell.
• Que el administrador seleccionará y usará el mismo servidor en cada granja de servidores en todos los pasos del proceso.
• Si el Control de cuentas de usuario (UAC) está activado, debe ejecutar los comandos de PowerShell con privilegios elevados.

Antes de empezar esta operación, consulte Compartir aplicaciones de servicio entre granjas de servidores en SharePoint Server para obtener información sobre los requisitos previos.

Exportación y copia de certificados

Un administrador de la granja de servidores de consumo debe proporcionar dos certificados de confianza para la granja de servidores de publicación: un certificado raíz y un certificado de servicio de token de seguridad (STS). Un administrador de la granja de servidores de publicación debe proporcionar un certificado raíz para la granja de servidores de consumo.

Solo puede exportar y copiar certificados mediante Windows PowerShell 3.0 o versiones posteriores.

Para exportar el certificado raíz de la granja de servidores de consumo

1. En el servidor donde se ejecuta SharePoint Server en la granja de servidores de consumo, compruebe si tiene las pertenencias siguientes:

   • Rol fijo de servidor securityadmin en la instancia de SQL Server.
   • Rol fijo de base de datos db_owner en todas las bases de datos que se van a cargar.
   • Grupo de servidores en el servidor en el que se van a ejecutar los cmdlets de PowerShell.
   • Agregue las pertenencias que resulten necesarias por encima de los mínimos establecidos anteriormente.

   Un administrador puede usar el cmdlet Add-SPShellAdmin para conceder permisos de uso para los cmdlets de SharePoint Server.

   Nota:

   Si no dispone de permisos, póngase en contacto con el administrador para la instalación o con el administrador de SQL Server para solicitarlos. Para más información sobre permisos de PowerShell, vea Add-SPShellAdmin.

2. En el Shell de administración de SharePoint, ejecute los siguientes comandos:

   $CFrootCert = (Get-SPCertificateAuthority).RootCertificate
   
   [System.IO.File]::WriteAllBytes('C:\ConsumingFarmRoot.cer', $CFrootCert.Export("Cert"))
   

   Donde C:\ConsumingFarmRoot.cer es la ruta de acceso del certificado raíz.

Para exportar el certificado STS de la granja de servidores de consumo

1. Compruebe que cumple con las pertenencias siguientes:

   • Rol fijo de servidor securityadmin en la instancia de SQL Server.
   • Rol fijo de base de datos db_owner en todas las bases de datos que se van a cargar.
   • Grupo de servidores en el servidor en el que se van a ejecutar los cmdlets de PowerShell.
   • Agregue las pertenencias que resulten necesarias por encima de los mínimos establecidos anteriormente.

   Un administrador puede usar el cmdlet Add-SPShellAdmin para conceder permisos de uso para los cmdlets de SharePoint Server.

   Nota:

   Si no dispone de permisos, póngase en contacto con el administrador para la instalación o con el administrador de SQL Server para solicitarlos. Para más información sobre permisos de PowerShell, vea Add-SPShellAdmin.

2. En el Shell de administración de SharePoint, ejecute los siguientes comandos:

   $stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate
   
   [System.IO.File]::WriteAllBytes('C:\ConsumingFarmSTS.cer', $stsCert.Export("Cert"))
   

   Donde C:\ConsumingFarmSTS.cer es la ruta de acceso del certificado STS.

Para exportar el certificado raíz de la granja de servidores de publicación

1. En la granja de servidores que ejecuta SharePoint Server en la granja de servidores de publicación, compruebe si tiene las siguientes pertenencias:

   • Rol fijo de servidor securityadmin en la instancia de SQL Server.
   • Rol fijo de base de datos db_owner en todas las bases de datos que se van a cargar.
   • Grupo de servidores en el servidor en el que se van a ejecutar los cmdlets de PowerShell.
   • Agregue las pertenencias que resulten necesarias por encima de los mínimos establecidos anteriormente.

   Un administrador puede usar el cmdlet Add-SPShellAdmin para conceder permisos de uso para los cmdlets de SharePoint Server.

   Nota:

   Si no dispone de permisos, póngase en contacto con el administrador para la instalación o con el administrador de SQL Server para solicitarlos. Para más información sobre permisos de PowerShell, vea Add-SPShellAdmin.

2. En el Shell de administración de SharePoint, ejecute los siguientes comandos:

   $PFrootCert = (Get-SPCertificateAuthority).RootCertificate
   
   [System.IO.File]::WriteAllBytes('C:\PublishingFarmRoot.cer', $PFrootCert.Export("Cert"))
   

   Donde C:\PublishingFarmRoot.cer es la ruta de acceso del certificado raíz.

Para copiar los certificados

1. Copie el certificado raíz y el certificado STS del servidor de la granja de servidores de consumo en el servidor de la granja de servidores de publicación.
2. Copie el certificado raíz del servidor de la granja de publicación en un servidor de la granja de consumo.

Administración de certificados de confianza mediante PowerShell

La administración de certificados de confianza de una granja de servidores incluye establecer la confianza. En esta sección se describe cómo establecer confianza en las granjas de servidores de consumo y publicación mediante comandos de PowerShell.

Establecimiento de la confianza en la granja de consumo

Para establecer la confianza en la granja de servidores de consumo, debe importar el certificado raíz que se copió desde la granja de servidores de publicación y crear una entidad de certificación raíz de confianza.

Para importar el certificado raíz y crear una entidad de certificación raíz de confianza en la granja de consumo

1. Compruebe que cumple con las pertenencias siguientes:

   • Rol fijo de servidor securityadmin en la instancia de SQL Server.
   • Rol fijo de base de datos db_owner en todas las bases de datos que se van a cargar.
   • Grupo de servidores en el servidor en el que se van a ejecutar los cmdlets de PowerShell.
   • Agregue las pertenencias que resulten necesarias por encima de los mínimos establecidos anteriormente.

   Un administrador puede usar el cmdlet Add-SPShellAdmin para conceder permisos de uso para los cmdlets de SharePoint Server.

   Nota:

   Si no dispone de permisos, póngase en contacto con el administrador para la instalación o con el administrador de SQL Server para solicitarlos. Para más información sobre permisos de PowerShell, vea Add-SPShellAdmin.

2. En el Shell de administración de SharePoint, ejecute los siguientes comandos:

   $trustCert = Get-PfxCertificate "<C:\PublishingFarmRoot.cer>"
   
   New-SPTrustedRootAuthority "<PublishingFarm>" -Certificate $trustCert
   

   Donde:

   • < C:\PublishingFarmRoot.cer> es la ruta de acceso del certificado raíz que se copió en la granja de servidores de consumo desde la granja de servidores de publicación.
   • <PublishingFarm> es un nombre único que identifica la granja de servidores de publicación. Cada entidad de certificación raíz de confianza debe tener un nombre único.

Establecimiento de la confianza en la granja de servidores de publicación

Para establecer la confianza en la granja de servidores de publicación, debe importar el certificado raíz que se copió desde la granja de servidores de consumo y crear una entidad de certificación raíz de confianza. A continuación, debe importar el certificado STS que se copió desde la granja de servidores de consumo y crear un emisor del servicio de token de seguridad de confianza.

Para importar el certificado raíz y crear una entidad de certificación raíz de confianza en la granja de servidores de publicación

1. Compruebe que cumple con las pertenencias siguientes:

   • Rol fijo de servidor securityadmin en la instancia de SQL Server.
   • Rol fijo de base de datos db_owner en todas las bases de datos que se van a cargar.
   • Grupo de servidores en el servidor en el que se van a ejecutar los cmdlets de PowerShell.
   • Agregue las pertenencias que resulten necesarias por encima de los mínimos establecidos anteriormente.

   Un administrador puede usar el cmdlet Add-SPShellAdmin para conceder permisos de uso para los cmdlets de SharePoint Server.

   Nota:

   Si no dispone de permisos, póngase en contacto con el administrador para la instalación o con el administrador de SQL Server para solicitarlos. Para más información sobre permisos de PowerShell, vea Add-SPShellAdmin.

2. En el Shell de administración de SharePoint, ejecute los siguientes comandos:

   $trustCert = Get-PfxCertificate "<C:\ConsumingFarmRoot.cer>"
   
   New-SPTrustedRootAuthority "<ConsumingFarm>" -Certificate $trustCert
   

   Donde:

   • < C:\ConsumingFarmRoot.cer> es el nombre y la ubicación del certificado raíz que se copió en la granja de servidores de publicación desde la granja de servidores de consumo.
   • <ConsumingFarm> es un nombre único que identifica la granja de servidores de consumo. Cada entidad de certificación raíz de confianza debe tener un nombre único.

Para importar el certificado STS y crear un emisor del servicio de token de confianza en la granja de servidores de publicación

1. Compruebe si tiene las siguientes pertenencias:

   • Rol fijo de servidor securityadmin en la instancia de SQL Server.
   • Rol fijo de base de datos db_owner en todas las bases de datos que se van a cargar.
   • Grupo de servidores en el servidor en el que se van a ejecutar los cmdlets de PowerShell.
   • Agregue las pertenencias que resulten necesarias por encima de los mínimos establecidos anteriormente.

   Un administrador puede usar el cmdlet Add-SPShellAdmin para conceder permisos de uso para los cmdlets de SharePoint Server.

   Nota:

   Si no dispone de permisos, póngase en contacto con el administrador para la instalación o con el administrador de SQL Server para solicitarlos. Para más información sobre permisos de PowerShell, vea Add-SPShellAdmin.

2. En el Shell de administración de SharePoint, ejecute los siguientes comandos:

   $stsCert = Get-PfxCertificate "<c:\ConsumingFarmSTS.cer>"
   
   New-SPTrustedServiceTokenIssuer "<ConsumingFarm>" -Certificate $stsCert
   

   Donde:

   • < C:\ConsumingFarmSTS.cer> es la ruta de acceso del certificado STS que se copió en la granja de servidores de publicación desde la granja de servidores de consumo.
   • <ConsumingFarm> es un nombre único que identifica la granja de servidores de consumo. Cada emisor del servicio de token de confianza debe tener un nombre único.

Para obtener más información sobre estos cmdlets de PowerShell, vea los artículos siguientes:

• Get-SPCertificateAuthority
• Get-SPSecurityTokenServiceConfig
• New-SPTrustedRootAuthority
• New-SPTrustedServiceTokenIssuer
• Get-PfxCertificate

Para obtener información sobre cómo usar un script para automatizar parte de este proceso, vea Exchange trust certificates between farms (Intercambio de certificados de confianza entre granjas de servidores).

Administración de certificados de confianza mediante Administración central

Únicamente puede administrar las confianzas de una granja de servidores después de exportar y copiar los certificados relevantes en la granja de servidores.

Para establecer la confianza mediante Administración central

1. Compruebe si la cuenta de usuario que lleva a cabo este procedimiento pertenece al grupo de administradores de la granja de servidores de SharePoint.

2. En el sitio web de el sitio web de Administración central de SharePoint, haga clic en Seguridad.

3. En la página Seguridad de la sección Seguridad general, haga clic en Administra la confianza.

4. En la página Relación de confianza, en la cinta de opciones, haga clic en Nuevo.

5. En la página “Establecer relación de confianza”, siga este procedimiento:

   • Proporcione un nombre que describa el objetivo de la relación de confianza.

   • Busque y seleccione el certificado de entidad raíz para la relación de confianza. Debe ser el certificado de entidad de certificación raíz que se exportó desde la otra granja de servidores mediante Microsoft PowerShell, como se describe en Exportación y copia de certificados.

   • Si realiza esta tarea en la granja de servidores de publicación, active la casilla Proporcionar relación de confianza. Escriba un nombre descriptivo para el emisor de token, busque y seleccione el certificado STS que se copió de la granja de servidores de consumo, tal y como se indica en Exportación y copia de certificados.

   • Haga clic en Aceptar.

   Después de establecer una relación de confianza, puede modificar la descripción del emisor de token o los certificados que se utilizan; para ello, haga clic en la confianza y luego en Editar. Para eliminar una confianza, haga clic en ella y luego en Eliminar.

Vea también

Conceptos

Planear los métodos de autenticación de usuario en SharePoint Server

Otros recursos

Crear una aplicación web en SharePoint Server

Configure SAML-based claims authentication with AD FS in SharePoint Server (Configurar la autenticación de reclamaciones basada en SAML con AD FS en SharePoint Server)