Замена сертификата службы маркеров безопасности для SharePoint ServerReplace the STS certificate for SharePoint Server

Применимо к: да 2013да 2016да 2019нет SharePoint OnlineAPPLIES TO: yes2013 yes2016 yes2019 noSharePoint Online

В этом разделе представлены сведения о замене сертификата службы маркеров безопасности SharePoint (STS) в ферме SharePoint.This topic provides information on replacing the SharePoint Security Token Service (STS) certificate in a SharePoint farm.

Требования к СертификатамCertificate Requirements

Приобретение сертификата из доверенного центра сертификации, создание нового сертификата из инфраструктуры PKI с самостоятельным размещением (например, служб сертификации Active Directory) или Создание самозаверяющего сертификата (созданного с помощью certreq.exe или New-SelfSignedCertificate).Purchase a certificate from a trusted Certificate Authority, create a new certificate from a self-hosted PKI infrastructure (such as Active Directory Certificate Services), or create a self-signed certificate (created through certreq.exe or New-SelfSignedCertificate). Сертификат должен использовать 2048 или более высокий уровень шифрования.The certificate must be using 2048 bit encryption or higher.

Чтобы заменить сертификат STS, вам потребуются общедоступный сертификат (CER) и общедоступный сертификат с закрытым ключом (PFX) и понятное имя сертификата.To replace the STS certificate, you will need the public certificate (CER) and public with private key certificate (PFX) and the friendly name of the certificate.

Сертификат должен быть заменен во время периода обслуживания, так как служба таймера SharePoint (SPTimerV4) должна быть перезапущена.The certificate should be replaced during a maintenance window as the SharePoint Timer Service (SPTimerV4) must be restarted.

По умолчанию в качестве общедоступных сертификатов и по умолчанию срок действия частных сертификатов истечет в пределах от 1 до 3 лет в зависимости от указанного периода действия эта процедура должна выполняться при необходимости обновления сертификата.As public certificates and by default, private certificates expire within 1 to 3 years depending on the specified validity period, this procedure should be followed when the certificate requires renewal.

Примечание

Сертификат STS по умолчанию не требуется обновлять.The default STS certificate does not need to be renewed. Обновление применяется только после замены сертификата STS.Renewal only applies after the STS certificate has been replaced.

Создание самозаверяющего сертификатаCreating a Self-Signed Certificate

Чтобы создать самозаверяющий сертификат, выберите метод создания и выполните указанные ниже действия.To create a self-signed certificate, choose the method of creation and follow these steps.

Совет

Для общего имени и DNS-имени может быть задано любое значение.The Common Name and DNS Name may be set to any value.

Примечание

Закрытые ключи сертификатов и пароли чувствительны к конфиденциальной информации.Certificate private keys and passwords are sensitive. Используйте надежный пароль и безопасно сохраните PFX-файл.Use a strong password and securely store the PFX file.

New — СелфсигнедцертификатеNew-SelfSignedCertificate

New-SelfSignedCertificate -DnsName 'sts.contoso.com' -KeyLength 2048 -FriendlyName 'SharePoint STS Certificate' -CertStoreLocation 'cert:\LocalMachine\My' -KeySpec KeyExchange
$password = ConvertTo-SecureString "P@ssw0rd1!" -Force -AsPlainText
$cert = Get-ChildItem "cert:\localmachine\my" | ?{$_.Subject -eq "CN=sts.contoso.com"}
Export-PfxCertificate -Cert $cert -Password $password -FilePath C:\sts.pfx
Export-Certificate -Cert $cert -Type CERT -FilePath C:\sts.cer

В этом примере создается новый сертификат с именем DNS "sts.contoso.com" и общим именем "CN = STS. contoso. com".This example creates a new certificate with the DNS Name of 'sts.contoso.com' and a Common Name of 'CN=sts.contoso.com'. Общее имя автоматически задается New-SelfSignedCertificate командлетом.The Common Name is automatically set by the New-SelfSignedCertificate cmdlet. С помощью безопасного пароля мы экспортируем PFX (STS. pfx) и общедоступный сертификат (STS. cer).Using a secure password, we then export the PFX (sts.pfx) and public certificate (sts.cer).

CertreqCertreq

Создайте новый файл Request. INF для сертификата.Create a new file, request.inf, for the certificate. В приведенном ниже примере измените тему по мере необходимости.Adjust the Subject as needed from the below example.

[Version]
Signature="$Windows NT$

[NewRequest]
FriendlyName = "SharePoint STS Certificate"
Subject = "CN=sts.contoso.com"
KeyLength = 2048
KeyAlgorithm = RSA
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE | CERT_DIGITAL_SIGNATURE_KEY_USAGE"
KeySpec = "AT_KEYEXCHANGE"
MachineKeySet = true
RequestType = Cert
ExportableEncrypted = true

[Strings]
szOID_ENHANCED_KEY_USAGE = "2.5.29.37"
szOID_PKIX_KP_SERVER_AUTH = "1.3.6.1.5.5.7.3.1"
szOID_PKIX_KP_CLIENT_AUTH = "1.3.6.1.5.5.7.3.2"

[Extensions]
%szOID_ENHANCED_KEY_USAGE%="{text}%szOID_PKIX_KP_SERVER_AUTH%,"
_continue_ = "%szOID_PKIX_KP_CLIENT_AUTH%"

В командной строки с повышенными привилегиями выполните следующую команду, чтобы создать и установить сертификат в хранилище локального компьютера.From an elevated Command Prompt, run the following to create and install the certificate in the local machine store. После установки сертификата появится диалоговое окно сохранения.When the certificate has been installed, a save dialog will appear. Измените тип файла "Сохранить как Certificate Files " на и сохраните его C:\sts.cerкак.Change the Save as type to Certificate Files and save the file as C:\sts.cer.

certreq -new request.inf
certutil -store My "sts.contoso.com"

Скопируйте выходные данные SerialNumber из второй команды и используйте ее в следующей команде.copy the SerialNumber output from the second command and use it in the following command. Замените на фактическое значение.Replace with the actual value.

certutil -exportPFX -p "P@ssw0rd1!" CA <SerialNumber> C:\sts.pfx

Первый шаг создает сертификат на основе вышеуказанного запроса.The first step creates the certificate based on the above request. Второй шаг позволяет нам найти серийный номер нового сертификата.The second step allows us to find the Serial Number of our new certificate. Наконец, последний шаг экспортирует сертификат в PFX, защищенный паролем.Finally, the last step exports the certificate to a PFX secured by a password.

Замена сертификата STSReplacing the STS certificate

Эту процедуру необходимо выполнить на каждом сервере в ферме.This procedure must be performed on every server in the farm. Первым этапом является Импорт PFX в контейнер доверенных корневых центров сертификации в хранилище локального компьютера.The first step is to import the PFX to the Trusted Root Certification Authorities container in the Local Machine store.

Import — ПфксцертификатеImport-PfxCertificate

Чтобы импортировать PFX-данные Import-PfxCertificateс помощью, выполните пример.To import a PFX using Import-PfxCertificate, follow the example.

$password = Get-Credential -UserName "certificate" -Message "Enter password"
Import-PfxCertificate -FilePath C:\sts.pfx -CertStoreLocation Cert:\LocalMachine\Root -Password $password.Password

В этом примере сначала создаются учетные данные.In this example, we first create a credential. Имя пользователя не используется в этом примере, но должно быть задано.The username isn't used in this example, but must be set. Пароль будет значением экспортированного пароля PFX; в нашем примере "P @ ssw0rd1!".The password will be the value of the exported PFX password; in our example, "P@ssw0rd1!".

СлужебCertutil

certutil -f -p "P@ssw0rd1!" -importpfx Root C:\sts.pfx

В этом примере импортируется PFX-файл, используя certutil, указывая пароль, который использовался при ЭКСПОРТе PFX, и импорт в контейнер доверенных корневых центров сертификации в локальном хранилище компьютера.In this example, we import the PFX file using certutil, specifying the password we used when exporting the PFX and importing into the Trusted Root Certification Authorities container in the Local Machine store.

Замена сертификата службы маркеров безопасности в SharePointReplace the STS Certificate in SharePoint

После импорта PFX-сервера на все серверы SharePoint в ферме необходимо заменить сертификат, который используется службой маркеров безопасности.Once the PFX has been imported on all SharePoint servers in the farm, we must replace the certificate that is in use by the STS. Для выполнения этой операции необходимо быть администратором оболочки SharePoint (Дополнительные сведения о том, как добавить администратора оболочки SharePoint), можно найти в статье Add-SPShellAdmin .You must be a SharePoint Shell Administrator (see Add-SPShellAdmin for details on how to add a SharePoint Shell Administrator) to perform this operation.

С помощью командной консоли SharePoint мы будем указать путь к PFX-файлу, задать пароль, настроить службу маркеров безопасности для использования нового сертификата, перезапустить службы IIS и затем перезапустить службу таймера SharePoint (SPTimerV4).Using the SharePoint Management Shell, we will specify the path to the PFX file, set the password, set the STS to use the new certificate, restart IIS, and finally restart the SharePoint Timer Service (SPTimerV4).

$path = 'C:\sts.pfx'
$pass = 'P@ssw0rd1!'
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path, $pass, 20)
Set-SPSecurityTokenServiceConfig -ImportSigningCertificate $cert
iisreset
Restart-Service SPTimerV4

Выполните указанные выше действия на всех серверах SharePoint в ферме.Complete the above steps on all SharePoint server in the farm. Процесс замены сертификатов STS завершается.This completes the STS certificate replacement process. Если вы используете гибридную ферму, ознакомьтесь со статьей Использование сайта SharePoint Office 365 для авторизации размещенных у поставщика надстроек на локальном сайте SharePoint для выполнения дополнительных действий, необходимых для загрузки сертификата STS в Azure.If you are using a hybrid farm, see Use an Office 365 SharePoint site to authorize provider-hosted add-ins on an on-premises SharePoint site for additional steps required to upload the STS certificate to Azure.

См. такжеSee Also

Гибридная конфигурация SharePoint ServerHybrid for SharePoint Server

Export — ПфксцертификатеExport-PfxCertificate

Export — CertificateExport-Certificate

CertreqCertreq

СлужебCertutil