ファーム間で信頼証明書を交換する (SharePoint Foundation 2010)

適用先: SharePoint Foundation 2010

Microsoft SharePoint Foundation 2010 では、SharePoint ファームは別の SharePoint Foundation 2010 ファームで発行されているサービス アプリケーションに接続して使用できます。そのためには、ファームは信頼証明書を交換する必要があります。

ここでは、発行側のファームと使用側のファームの間で信頼証明書を交換する方法について説明します。サービス アプリケーションの共有が動作するためには、両方のファームがこの交換に参加する必要があることに注意してください。

ファーム間で証明書をエクスポートしてコピーするには、Windows PowerShell 2.0 のコマンドを使用する必要があります。証明書をエクスポートしてコピーした後は、Windows PowerShell 2.0 のコマンドまたはサーバーの全体管理を使用して、ファーム内の信頼関係を管理できます。

ここの説明では、次の条件を想定しています。

• この手順で使用するサーバーは、Windows PowerShell 2.0 を実行しています。

• プロセスのすべての手順で、管理者は各ファーム内の同じサーバーを選択して使用します。

• ユーザー アカウント制御 (UAC) がオンになっている場合は、Windows PowerShell 2.0 コマンドを上位の権限で実行する必要があります。

この記事の内容

• 証明書をエクスポートしてコピーする

• Windows Powershell を使用して信頼証明書を管理する

• サーバーの全体管理を使用して信頼証明書を管理する

証明書をエクスポートしてコピーする

使用側ファームの管理者は、ルート証明書と Security Token Service (STS) 証明書という 2 つの信頼証明書を発行側ファームに提供する必要があります。発行側ファームの管理者は、ルート証明書を使用側ファームに提供する必要があります。

証明書をエクスポートしてコピーするには、Windows PowerShell 2.0 を使用する必要があります。

使用側ファームからルート証明書をエクスポートするには

1. 使用側ファームの SharePoint Foundation 2010 を実行するサーバーで、次の最小要件が満たされていることを確認します。 Add-SPShellAdmin を参照してください。

2. [スタート] ボタンをクリックして、[管理ツール] をクリックします。

3. [SharePoint 2010 管理シェル] をクリックします。

4. Windows PowerShell のコマンド プロンプトで、次の各コマンドを入力します。

   $rootCert = (Get-SPCertificateAuthority).RootCertificate
   
   $rootCert.Export("Cert") | Set-Content <C:\ConsumingFarmRoot.cer> -Encoding byte
   

   <C:\ConsumingFarmRoot.cer> はルート証明書のパスです。

使用側ファームから STS 証明書をエクスポートするには

1. Windows PowerShell のコマンド プロンプトで、次のコマンドを入力します。

   $stsCert = (Get-SPSecurityTokenServiceConfig).LocalLoginProvider.SigningCertificate
   
   $stsCert.Export("Cert") | Set-Content <C:\ConsumingFarmSTS.cer> -Encoding byte
   

   <C:\ConsumingFarmSTS.cer> は STS 証明書のパスです。

発行側ファームからルート証明書をエクスポートするには

1. 発行側ファームの SharePoint Foundation 2010 を実行するサーバーで、次の最小要件が満たされていることを確認します。 Add-SPShellAdmin を参照してください。

2. [スタート] ボタンをクリックして、[管理ツール] をクリックします。

3. [SharePoint 2010 管理シェル] をクリックします。

4. Windows PowerShell のコマンド プロンプトで、次のコマンドを入力します。

   $rootCert = (Get-SPCertificateAuthority).RootCertificate
   
   $rootCert.Export("Cert") | Set-Content <C:\PublishingFarmRoot.cer> -Encoding byte
   

   <C:\PublishingFarmRoot.cer> はルート証明書のパスです。

証明書をコピーするには

1. ルート証明書と STS 証明書を、使用側ファームのサーバーから発行側ファームのサーバーにコピーします。

2. ルート証明書を、発行側ファームのサーバーから使用側ファームのサーバーにコピーします。

Windows Powershell を使用して信頼証明書を管理する

ファーム内の信頼証明書を管理するには、信頼を確立する必要があります。ここでは、Windows PowerShell 2.0 のコマンドを使用して、使用側ファームと発行側ファームの両方で信頼を確立する方法について説明します。

使用側のファームで信頼を確立する

使用側ファームで信頼を確立するには、発行側ファームからコピーしたルート証明書をインポートし、信頼できるルート証明機関を作成する必要があります。

使用側ファームで、ルート証明書をインポートし、信頼できるルート証明機関を作成するには

1. 使用側ファームのサーバーの Windows PowerShell コマンド プロンプトで、次のコマンドを入力します。

   $trustCert = Get-PfxCertificate <C:\PublishingFarmRoot.cer>
   
   New-SPTrustedRootAuthority <PublishingFarm> -Certificate $trustCert
   

ここで、

• <C:\PublishingFarmRoot.cer> は、発行側ファームから使用側ファームにコピーしたルート証明書のパスです。

• <PublishingFarm> は、発行側ファームを識別する一意の名前です。個々の信頼できるルート証明機関に一意の名前を付ける必要があります。

発行側のファームで信頼を確立する

発行側ファームで信頼を確立するには、使用側ファームからコピーしたルート証明書をインポートし、信頼できるルート証明機関を作成する必要があります。その後、使用側ファームからコピーした STS 証明書をインポートし、信頼できるサービス トークン発行元を作成する必要があります。

発行側ファームで、ルート証明書をインポートし、信頼できるルート証明機関を作成するには

1. 発行側ファームのサーバーの Windows PowerShell コマンド プロンプトで、次のコマンドを入力します。

   $trustCert = Get-PfxCertificate <C:\ConsumingFarmRoot.cer>
   
   New-SPTrustedRootAuthority <ConsumingFarm> -Certificate $trustCert
   

ここで、

• <C:\ConsumingFarmRoot.cer> は、使用側ファームから発行側ファームにコピーしたルート証明書の名前と場所です。

• <ConsumingFarm> は、使用側ファームを識別する一意の名前です。個々の信頼できるルート証明機関に一意の名前を付ける必要があります。

発行側ファームで、STS 証明書をインポートし、信頼できるサービス トークン発行元を作成するには

1. 発行側ファームのサーバーの Windows PowerShell コマンド プロンプトで、次のコマンドを入力します。

   $stsCert = Get-PfxCertificate <c:\ConsumingFarmSTS.cer>
   
   New-SPTrustedServiceTokenIssuer <ConsumingFarm> -Certificate $stsCert
   

ここで、

1. <C:\ConsumingFarmSTS.cer> は、使用側ファームから発行側ファームにコピーした STS 証明書のパスです。

2. <ConsumingFarm> は、使用側ファームを識別する一意の名前です。個々の信頼できるサービス トークン発行元に一意の名前を付ける必要があります。

これらの Windows PowerShell 2.0 コマンドレットの詳細については、以下の記事を参照してください。

• Get-SPCertificateAuthority

• Get-SPSecurityTokenServiceConfig

• New-SPTrustedRootAuthority

• New-SPTrustedServiceTokenIssuer

• Get-PfxCertificate (https://go.microsoft.com/fwlink/?linkid=178943&clcid=0x411)

サーバーの全体管理を使用して信頼証明書を管理する

ファームの信頼関係を管理するには、関連する証明書が既にエクスポートされてファームにコピーされている必要があります。

サーバーの全体管理を使用して信頼を確立するには

1. この処理を実行しているユーザー アカウントが Farm Administrators SharePoint グループのメンバーであることを確認します。

2. SharePoint サーバーの全体管理 Web サイトで、[セキュリティ] をクリックします。

3. [セキュリティ] ページの [一般的なセキュリティ] セクションで、[信頼関係の管理] をクリックします。

4. [信頼関係] ページで、リボンの [新規] をクリックします。

5. [信頼関係の確立] ページで、次の操作を行います。

   1. 信頼関係の目的を表す名前を入力します。

   2. 信頼関係のルート証明機関の証明書を参照して選択します。これは、「証明書をエクスポートしてコピーする」の説明に従って、Windows PowerShell を使用して他のファームからエクスポートされたルート証明機関の証明書である必要があります。

   3. この作業を発行側ファームで実行している場合は、[信頼関係を提供する] チェック ボックスをオンにします。トークン発行元を表す名前を入力し、「証明書をエクスポートしてコピーする」の説明に従って使用側ファームからコピーされた STS 証明書を参照して選択します。

   4. [OK] をクリックします。

   信頼関係が確立された後で、信頼をクリックして [編集] をクリックすると、トークン発行元の説明や使用する証明書を変更できます。信頼を削除するには、削除する信頼をクリックし、[削除] をクリックします。

See Also

Concepts

クレーム ベースの認証を構成する (SharePoint Foundation 2010)
Security Token Service を構成する (SharePoint Foundation 2010)

Other Resources

クレームベースの認証を計画する (SharePoint Foundation 2010) (現在不使用)