Share via

在 Office Online Server 和 SharePoint Server 2016 之間設定伺服器對伺服器驗證

  • 發行項

摘要:設定 Office Online Server 和 SharePoint Server 2016 之間的伺服器對伺服器驗證。

Office Online 伺服器 和 SharePoint Server 2016 之間的伺服器對伺服器驗證會在兩部伺服器之間建立信任關係。 這個信任關係是某些 Excel Online 功能的必要先決條件,例如 Office 資料連線 (ODC) 檔案支援和 IT 管理儀表板 (SQL Server Power Pivot for SharePoint 的一部分)。 本文會引導您完成這個信任關係的設定步驟。

若要設定伺服器對伺服器驗證,Office Online 伺服器 伺服器陣列和 SharePoint Server 伺服器陣列必須位於相同的 Active Directory 樹系。 您還必須在 SharePoint Server 伺服器陣列上設定 User Profile Service Application。

設定伺服器對伺服器驗證所需的基本動作如下︰

  1. 將憑證匯入 Office Online Server
  2. 匯出憑證以在 SharePoint Server 上使用
  3. 設定 Office Online Server 以將憑證用於伺服器對伺服器驗證
  4. 設定 SharePoint Server 以將憑證用於伺服器對伺服器驗證

您將從把憑證匯入 Office Online 伺服器 來開始。

將憑證匯入 Office Online Server

第一個步驟是匯入憑證以供 Office Online 伺服器 使用。 遵循匯入您的憑證授與網路服務許可權,在 Office Online Server 伺服器陣列中的每部伺服器上使用密鑰程式。

匯入您的憑證

您可以使用私密金鑰 SSL 憑證或自我簽署憑證。 我們強烈建議使用私密金鑰 SSL 憑證。 後面的章節會提供這兩種憑證的程序。 請選擇您所使用的憑證。

使用私密金鑰 SSL 憑證

在每一部執行 Office Online 伺服器 的伺服器上安裝憑證。

在 Office Online 伺服器上安裝憑證

  1. 在執行 Office Online 伺服器 的伺服器上,開啟 IIS 管理員。
  2. 在左窗格中,按一下伺服器名稱。
  3. 按兩下 [伺服器憑證]。
  4. 在 [動作] 窗格中,按一下 [匯入]。
  5. 輸入您想要使用之 SSL 憑證的 路徑檔名
  6. 在 [ 密碼] 方塊中,輸入憑證的 密碼
  7. 在 [選取憑證存放區] 下拉式清單中,確定已選取 [個人]。
  8. 按一下 [確定]

在每一部執行 Office Online 的伺服器上重複此程序。

使用自我簽署憑證

如果您使用自我簽署憑證,則必須將其新增至信任的根憑證授權。

將憑證匯入信任的根憑證授權

  1. 開啟 Microsoft Management Console。
  2. 在 [檔案] 功能表上,選擇 [新增/移除嵌入式管理單元]。
  3. 選擇 [憑證],然後按一下 [新增]。
  4. 選擇 [電腦帳戶] 選項,按 [下一步],然後按一下 [完成]。
  5. 按一下 [確定]
  6. 展開 [憑證 (本機電腦)],以滑鼠右鍵按一下 [信任的根憑證授權],按一下 [所有工作],然後按一下 [匯入]。
  7. 按 [下一步]。
  8. 瀏覽至憑證所在位置,加以選取,然後按 [下一步]。
  9. 輸入憑證密碼,按 [下一步],然後按一下 [完成]。

讓 Microsoft Management Console 保持開啟以進行下一個程序。

對網路服務授與使用金鑰的權限

接下來,使用 Microsoft Management Console (MMC) 對網路服務授與使用私密金鑰的權限。

對網路服務授與使用私密金鑰的權限

  1. 開啟 Microsoft Management Console。
  2. 在 [檔案] 功能表上,選擇 [新增/移除嵌入式管理單元]。
  3. 選擇 [憑證],然後按一下 [新增]。
  4. 選擇 [電腦帳戶] 選項,按 [下一步],然後按一下 [完成]。
  5. 按一下 [確定]
  6. 依序展開 [憑證 (本機電腦)][個人] [憑證]。
  7. 以滑鼠右鍵按一下您剛才匯入的憑證,按一下 [所有工作],然後按一下 [管理私密金鑰]。
  8. 在 [權限] 對話方塊中,按一下 [新增]。
  9. 輸入 [網路服務],然後按一下 [確定]。
  10. 按一下確定

請務必遵循匯入您的憑證授與網路服務許可權,在 Office Online Server 伺服器陣列中的每部伺服器上使用密鑰程式。

讓 Microsoft Management Console 保持開啟以進行下一個程序。

匯出憑證以在 SharePoint Server 上使用

下一步是匯出憑證,以便用它將 Office Online 伺服器 註冊為受信任的 Token 發行者。

匯出憑證以用於 SharePoint Server 2016

  1. 以滑鼠右鍵按一下您剛才匯入的憑證,按一下 [所有工作],然後按一下 [匯出]。
  2. 在 [歡迎] 頁面上,按 [下一步]
  3. 選擇 [否,不要匯出私密金鑰] 選項,然後按 [下一步]。
  4. 選擇 [DER 編碼二進位 X.509 (.CER)] 選項,然後按 [下一步]。
  5. 輸入您要匯出之檔案的 路徑名稱 ,然後按 [ 下一步]
  6. 按一下 [完成],然後按一下 [確定]。

將您建立的憑證檔案複製到可從 SharePoint Server 加以存取的位置。

接下來,您必須將這個憑證指定做為 Office Online 伺服器 的 S2S 憑證。

設定 Office Online Server 以將憑證用於伺服器對伺服器驗證

指定 Office Online 伺服器 的 S2S 憑證

  1. 以系統管理員身分開啟 Microsoft PowerShell 視窗。
  2. 輸入下列內容,其中 <friendlyName> 是您所使用憑證的易記名稱。
Set-OfficeWebAppsFarm -S2SCertificateName "<friendlyName>" -Confirm:$false -Force

搭配使用 HTTP 與 Office Online Server

如果您針對 Office Online Server 伺服器陣列使用 HTTP 而非 HTTPS,則必須允許來自 Office Online Server 的輸出 HTTP 連線。 (如果您使用 SSL,您可以略過此程式。)

若要允許來自 Office Online 伺服器 的輸出 HTTP 連線,請執行下列 PowerShell 命令︰

Set-OfficeWebAppsFarm -AllowOutboundHttp:$True
iisreset

重要事項

無論使用哪一種環境,強烈建議您使用 HTTPS (TLS),因為 Office Online Server 會使用 OAuth 權杖與外部服務 (如 SharePoint 或Exchange Server) 通訊。 OAuth 權杖包含的資訊可能會被攻擊者攔截和重送,進而授與攻擊者與向 Office Online Server 發出要求的使用者相同的權限。

搭配使用 HTTP 路徑與 ODC 檔案

如果您打算將 ODC 檔案儲存在某個 HTTP 路徑,您必須設定 Office Online 伺服器 以允許透過 HTTP 的 Secure Store 連線。

重要事項

當您使用透過 HTTP 的 Secure Store 連線時,ODC 檔案的內容會以純文字傳遞。 ODC 檔案包含資料庫連線資訊,而且可能包含密碼。 Microsoft 使用 HTTPS 重新批注。

若要讓 Office Online 伺服器 能夠搭配使用 HTTP 路徑與 Secure Store,請執行下列 PowerShell 命令︰

Set-OfficeWebAppsFarm -AllowHttpSecureStoreConnections:$true
iisreset

設定 SharePoint Server 以將憑證用於伺服器對伺服器驗證

您必須將 SharePoint Server 和 SQL Server 註冊為受信任的 Token 發行者。 這可透過 PowerShell 來達成。 以下是您會使用的參數︰

  • <SPSiteURL> - 最上層網站集合的 URL。
  • <CertificateIssuer> - 憑證簽發者的名稱。 You can find this by viewing the Details tab of the certificate in IIS Manager.
  • <X509Certificate> - 您匯出之憑證檔案的路徑和檔名。
  • <RegisteredIssuer> - 受信任令牌簽發者的 GUID。 SharePoint Server 是 67e3df25-268a-4324-a550-0de1c7f97287@bd2372e4-0a11-495c-9541-8377c6def195,SQL Server 則是 67e3df25-268a-4324-a550-0de1c7f97287@ffab2d74-c6ae-4375-819a-8555d49b699a

執行下列程式兩次 - 針對每個 RegisteredIssuer> GUID 執行一<次。

註冊受信任的 Token 發行者

  1. 以系統管理員身分開啟 SharePoint 2016 管理命令介面。
  2. 使用上述參數執行下列指令碼︰
$issuer = New-SPTrustedSecurityTokenIssuer -Name <CertificateIssuer> -Certificate <X509Certificate> -RegisteredIssuerName <RegisteredIssuer>
$app = Get-SPAppPrincipal -Site <SPSiteURL> -NameIdentifier $issuer.NameId
$site = Get-SPSite <SPSiteURL>
Set-SPAppPrincipalPermission -appPrincipal $app -Site $site.RootWeb -Scope SiteSubscription -Right FullControl -EnableAppOnlyPolicy
  1. 如果您要使用自我簽署憑證,請執行下列命令︰
New-SPTrustedRootAuthority -Name <CertificateIssuer> -Certificate <X509Certificate>

另請參閱

New-SPTrustedSecurityTokenIssuer

New-SPTrustedRootAuthority

Get-SPAppPrincipal

Set-SPAppPrincipalPermission