Scambiare certificati di attendibilità tra farm in SharePoint Server

 

**Si applica a:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**Ultima modifica dell'argomento:**2018-03-02

Sintesi: informazioni su come scambiare certificati di attendibilità tra la farm di pubblicazione e la farm di utilizzo in SharePoint Server 2016 e SharePoint 2013.

In SharePoint Server, una farm può connettersi e utilizzare un'applicazione di servizio pubblicata in un'altra farm di SharePoint Server. A tale scopo, le farm devono scambiarsi certificati di attendibilità.

Perché la condivisione delle applicazioni di servizio funzioni, entrambe le farm devono partecipare a questo scambio.

Per ulteriori informazioni su come condividere le applicazioni di servizio tra farm, vedere Condividere le applicazioni di servizio tra farm in SharePoint Server.

È necessario utilizzare comandi di Microsoft PowerShell per esportare e copiare i certificati tra le farm. Dopo aver esportato e copiato i certificati, è possibile utilizzare comandi di PowerShell oppure Amministrazione centrale per gestire le relazioni di trust all'interno della farm.

Le istruzioni riportate in questo articolo si basano sui criteri seguenti:

• I server utilizzati per queste procedure eseguono PowerShell.

• L'amministratore selezionerà e utilizzerà lo stesso server di ogni farm per tutti i passaggi del processo.

• Se Controllo dell'account utente è attivato, sarà necessario eseguire i comandi di PowerShell con privilegi elevati.

Contenuto dell'articolo:

• Esportazione e copia dei certificati

• Gestione dei certificati di attendibilità tramite Windows PowerShell

• Gestione dei certificati di attendibilità tramite Amministrazione centrale

Prima di iniziare questa operazione, rivedere Condividere le applicazioni di servizio tra farm in SharePoint Server per informazioni sui prerequisiti.

Esportazione e copia dei certificati

Un amministratore della farm di utilizzo deve fornire due certificati di attendibilità alla farm di pubblicazione, ovvero un certificato radice e un certificato del servizio token di sicurezza (STS). Un amministratore della farm di pubblicazione deve fornire un certificato radice alla farm di utilizzo.

È possibile esportare e copiare certificati esclusivamente tramite Windows PowerShell 3.0 o versioni successive.

Per esportare il certificato radice dalla farm di utilizzo

1. In un server che esegue SharePoint Server nella farm di utilizzo verificare di essere membri dei ruoli e gruppi seguenti:

   • Ruolo predefinito del server securityadmin per l'istanza di SQL Server

   • Ruolo predefinito del database db_owner in tutti i database da aggiornare.

   • Gruppo Administrators per il server in cui vengono eseguiti i cmdlet diPowerShell.

   • Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.

   Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.

   Nota

   Se non si dispone delle autorizzazioni, richiederle all'amministratore dell'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.

2. Avviare SharePoint Management Shell.

3. Al prompt dei comandi di PowerShell digitare il comando seguente:

   $rootCert = (Get-SPCertificateAuthority).RootCertificate
   
   $rootCert.Export("Cert") | Set-Content <C:\ConsumingFarmRoot.cer> -Encoding byte
   

   Dove <C:\ConsumingFarmRoot.cer> è il percorso del certificato radice.

Per esportare il certificato STS dalla farm di utilizzo

1. Verificare di essere membri dei ruoli e dei gruppi seguenti:

   • Ruolo predefinito del server securityadmin nell'istanza di SQL Server.

   • Ruolo predefinito del database db_owner in tutti i database da aggiornare.

   • Gruppo Administrators per il server in cui vengono eseguiti i cmdlet diPowerShell.

   • Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.

   Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.

   Nota

   Se non si dispone delle autorizzazioni, richiederle all'amministratore dell'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.

2. Avviare SharePoint Management Shell.

3. Al prompt dei comandi di PowerShell digitare il comando seguente:

   $stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate
   
   $stsCert.Export("Cert") | Set-Content <C:\ConsumingFarmSTS.cer> -Encoding byte
   

   Dove <C:\ConsumingFarmSTS.cer> è il percorso del certificato STS.

Per esportare il certificato radice dalla farm di pubblicazione

1. In un server che esegue SharePoint Server nella farm di pubblicazione verificare di essere membri dei ruoli e gruppi seguenti:

   • Ruolo predefinito del server securityadmin per l'istanza di SQL Server

   • Ruolo predefinito del database db_owner in tutti i database da aggiornare.

   • Gruppo Administrators per il server in cui vengono eseguiti i cmdlet diPowerShell.

   • Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.

   Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.

   Nota

   Se non si dispone delle autorizzazioni, richiederle all'amministratore dell'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.

2. Avviare SharePoint Management Shell.

3. Al prompt dei comandi di PowerShell digitare il comando seguente:

   $rootCert = (Get-SPCertificateAuthority).RootCertificate
   
   $rootCert.Export("Cert") | Set-Content <C:\PublishingFarmRoot.cer> -Encoding byte
   

   Dove <C:\PublishingFarmRoot.cer> è il percorso del certificato radice.

Per copiare i certificati

1. Copiare il certificato radice e il certificato STS dal server della farm di utilizzo al server della farm di pubblicazione.

2. Copiare il certificato radice dal server della farm di pubblicazione a un server della farm di utilizzo.

Gestione dei certificati di attendibilità tramite PowerShell

Per gestire i certificati di attendibilità in una farm è necessario stabilire una relazione di trust. In questa sezione viene illustrato come stabilire tale relazione sia nella farm di utilizzo che nella farm di pubblicazione tramite comandi di PowerShell.

Definizione di una relazione di trust nella farm di utilizzo

Per stabilire una relazione di trust nella farm di utilizzo, è necessario importare il certificato radice copiato dalla farm di pubblicazione e creare un'autorità radice attendibile.

Per importare il certificato radice e creare un'autorità radice attendibile nella farm di utilizzo

1. Verificare di essere membri dei ruoli e dei gruppi seguenti:

   • Ruolo predefinito del server securityadmin nell'istanza di SQL Server.

   • Ruolo predefinito del database db_owner in tutti i database da aggiornare.

   • Gruppo Administrators per il server in cui vengono eseguiti i cmdlet diPowerShell.

   • Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.

   Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.

   Nota

   Se non si dispone delle autorizzazioni, richiederle all'amministratore dell'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.

2. Avviare SharePoint Management Shell.

3. Al prompt dei comandi di PowerShell digitare il comando seguente:

   $trustCert = Get-PfxCertificate <C:\PublishingFarmRoot.cer>
   
   New-SPTrustedRootAuthority <PublishingFarm> -Certificate $trustCert
   

   Dove:

   • <C:\PublishingFarmRoot.cer> è il percorso del certificato radice copiato nella farm di utilizzo dalla farm di pubblicazione.

   • <PublishingFarm> è un nome univoco che identifica la farm di pubblicazione. Ogni autorità radice attendibile deve avere un nome univoco.

Definizione di una relazione di trust nella farm di pubblicazione

Per stabilire una relazione di trust nella farm di pubblicazione, è necessario importare il certificato radice copiato dalla farm di utilizzo e creare un'autorità radice attendibile. È quindi necessario importare il certificato STS copiato dalla farm di utilizzo e creare un'autorità emittente di token di servizio attendibile.

Per importare il certificato radice e creare un'autorità radice attendibile nella farm di pubblicazione

1. Verificare di essere membri dei ruoli e dei gruppi seguenti:

   • Ruolo predefinito del server securityadmin nell'istanza di SQL Server.

   • Ruolo predefinito del database db_owner in tutti i database da aggiornare.

   • Gruppo Administrators per il server in cui vengono eseguiti i cmdlet diPowerShell.

   • Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.

   Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.

   Nota

   Se non si dispone delle autorizzazioni, richiederle all'amministratore dell'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.

2. Avviare SharePoint Management Shell.

3. Al prompt dei comandi di PowerShell digitare il comando seguente:

   $trustCert = Get-PfxCertificate <C:\ConsumingFarmRoot.cer>
   
   New-SPTrustedRootAuthority <ConsumingFarm> -Certificate $trustCert
   

   Dove:

   • <C:\ConsumingFarmRoot.cer> è il nome e il percorso del certificato radice copiato nella farm di pubblicazione dalla farm di utilizzo.

   • <ConsumingFarm> è un nome univoco che identifica la farm di utilizzo. Ogni autorità radice attendibile deve avere un nome univoco.

Per importare il certificato STS e creare un'autorità emittente di token di servizio attendibile nella farm di pubblicazione

1. Verificare di essere membri dei ruoli e dei gruppi seguenti:

   • Ruolo predefinito del server securityadmin nell'istanza di SQL Server.

   • Ruolo predefinito del database db_owner in tutti i database da aggiornare.

   • Gruppo Administrators per il server in cui vengono eseguiti i cmdlet diPowerShell.

   • Aggiungere le appartenenze necessarie oltre ai livelli minimi sopra indicati.

   Un amministratore può utilizzare il cmdlet Add-SPShellAdmin per concedere le autorizzazioni per l'utilizzo dei cmdlet di SharePoint Server.

   Nota

   Se non si dispone delle autorizzazioni, richiederle all'amministratore dell'installazione o all'amministratore di SQL Server. Per altre informazioni sulle autorizzazioni di PowerShell, vedere Add-SPShellAdmin.

2. Avviare SharePoint Management Shell.

3. Al prompt dei comandi di PowerShell digitare il comando seguente:

   $stsCert = Get-PfxCertificate 
   <c:\ConsumingFarmSTS.cer>
   
   New-SPTrustedServiceTokenIssuer <ConsumingFarm> -Certificate $stsCert
   

   Dove:

   • <C:\ConsumingFarmSTS.cer> è il percorso del certificato STS copiato nella farm di pubblicazione dalla farm di utilizzo.

   • <ConsumingFarm> è un nome univoco che identifica la farm di utilizzo. Ogni autorità emittente di token di servizio attendibile deve avere un nome univoco.

Dove:

Per ulteriori informazioni su questi cmdlet di PowerShell, vedere gli articoli seguenti:

• Get-SPCertificateAuthority

• Get-SPSecurityTokenServiceConfig

• New-SPTrustedRootAuthority

• New-SPTrustedServiceTokenIssuer

• Get-PfxCertificate

Per informazioni su come utilizzare uno script per automatizzare parte di questo processo, vedere l'articolo relativo allo scambio di certificati di attendibilità tra farm.

Gestione dei certificati di attendibilità tramite Amministrazione centrale

È possibile gestire le relazioni di trust in una farm solo dopo avervi esportato e copiato i certificati appropriati.

Per stabilire una relazione di trust tramite Amministrazione centrale

1. Verificare che l'account utente che esegue questa procedura sia membro del gruppo di SharePoint Amministratori farm.

2. Nel il sito Web Amministrazione centrale SharePoint fare clic su Sicurezza.

3. Nella sezione Sicurezza generale della pagina Sicurezza fare clic su Gestisci relazione di trust.

4. Nella pagina Relazioni di trust fare clic su Nuovo sulla barra multifunzione.

5. Nella pagina Stabilisci relazione di trust eseguire le operazioni seguenti:

   1. Specificare un nome che descriva lo scopo della relazione di trust.

   2. Individuare e selezionare il certificato autorità radice per la relazione di trust. Deve essere il certificato autorità radice esportato dall'altra farm tramite Microsoft PowerShell, come illustrato in Esportazione e copia dei certificati.

   3. Se si sta eseguendo questa attività nella farm di pubblicazione, selezionare la casella di controllo Conferma relazione di trust. Digitare un nome descrittivo per l'autorità emittente di token, quindi individuare e selezionare il certificato STS copiato dalla farm di utilizzo, come illustrato in Esportazione e copia dei certificati.

   4. Fare clic su OK.

   Dopo avere stabilito una relazione di trust, è possibile modificare la descrizione dell'autorità emittente di token oppure i certificati utilizzati facendo clic sulla relazione di trust e quindi su Modifica. È possibile eliminare una relazione di trust facendo clic su di essa e quindi su Elimina.

See also

Pianificare i metodi di autenticazione degli utenti in SharePoint Server
Create a web application in SharePoint Server

Configurare l'autenticazione delle attestazioni basata su SAML con ADFS in SharePoint 2013