Currently set to Index
Currently set to Follow

Upgrade Secure Store Service — PassPhrase vergessen?

|

Beim Upgrade der Secure Store Service­an­wen­dung muss die PassPhrase einge­geben werden, mit der in Share­Point 2010 der MasterKey generiert wurde. Was tun, wenn die PassPhrase nicht mehr bekannt ist?

Im Rahmen eines Upgrades von Share­Point 2010 nach Share­Point 2013 sind je nach Nutzung neben den Inhalts­da­ten­banken auch Service­da­ten­banken zu migrieren. Eine dieser Service Anwen­dungen ist der in Share­Point 2010 einge­führte Secure Store Service. Vor der Verwen­dung der Secure Store Service­an­wen­dung in Share­Point 2010 muss ein sog. Verschlüs­se­lungs­schlüssel (Master Key) generiert werden. Dazu muss der Share­Point Adminis­trator eine PassPhrase eingeben (Es handelt sich hierbei nicht um die PassPhrase für die Farm, welche zum Hinzu­fügen und Entfernen von Servern in der Farm benötigt wird). Genau diese PassPhrase wird bei dem Upgrade auf Share­Point 2013 wieder benötigt! Aus der einge­ge­benen PassPhrase wird der Verschlüs­se­lungs­schlüssel generiert, welcher dazu verwendet wird, um damit die in der Secure Store Daten­bank gespei­cherten Anmel­de­in­for­ma­tionen zu verschlüs­seln. Der Verschlüs­se­lungs­schlüssel ist in der Farm gespei­chert, kann aber nicht ausge­lesen werden. Nur mit dem Verschlüs­se­lungs­schlüssel können die Anmel­de­daten in der Secure Store Daten­bank entschlüs­selt und in Anwen­dungen, z.B. Externen Inhalts­typen, verwendet werden.

Beim Upgrade der Secure Store Service­an­wen­dung nach Share­Point 2013 ist eine neue Secure Store Dienst­an­wen­dung zu erstellen, welche auf die wieder­her­ge­stellte SP2010 Secure Store Dienst­da­ten­bank referen­zieren muss. Beim Öffnen der Dienst­an­wen­dung wird dann folgende Meldung angezeigt: Unable to obtain master key.

Die Meldung kommt, da in der SP2013 Farm noch kein passender Verschlüs­se­lungs­schlüssel gespei­chert ist, d.h. die Daten in der aktua­li­sierten Dienst­da­ten­bank können nicht entschlüs­selt werden. Der Verschlüs­se­lungs­schlüssel für Share­Point 2013 muss mittels Update-SPSecu­reS­to­reAp­p­li­ca­ti­on­Ser­verKey neu generiert werden, wozu aller­dings die Passphrase, die damals in Share­Point 2010 einge­geben wurde, einzu­geben ist. Die Ausfüh­rung von Update-SPSecu­reS­to­reAp­p­li­ca­ti­on­Ser­verKey mit ungül­tiger PassPhrase liefert folgenden Fehler: Excep­tion of type ‘Microsoft.Office.SecureStoreService.Server.KeyManagement.InvalidMasterKeyException’ was thrown.

Was tun, wenn die PassPhrase nicht mehr bekannt ist?

Wie oben erwähnt sind die Daten in der Secure Store Service­da­ten­bank verschlüs­selt. Können die Daten nicht entschlüs­selt werden, so sind diese nutzlos, was aber – je nach Nutzung – einen erheb­li­chen Einfluss auf Anwen­dungen hat, die den Secure Store Service verwenden.

Um das Problem zu lösen müssen wir vor dem Upgrade in der Secure Store Service­an­wen­dung in Share­Point 2010 einen neuen Verschlüs­se­lungs­schlüssel unter Eingabe einer neuen PassPhrase – die dann gut und sicher dokumen­tiert wird — generieren. Share­Point selber kennt den alten Verschlüs­se­lungs­schlüssel und kann daher die Anmel­de­daten entschlüs­seln und mit dem neuen Verschlüs­se­lungs­schlüssel, von dem wir die PassPhrase nun kennen, verschlüs­seln. Fertig!

Zusam­men­fas­sung:

  • In SP2010
    • Generate New Key und PassPhrase dokumen­tieren
    • Refresh Key
  • In SP2013
    • Dienst­da­ten­bank wieder­her­stellen
    • Dienst­an­wen­dung neu erstellen und auf Dienst­da­ten­bank verweisen
    • Update-SPSecu­reS­to­reAp­p­li­ca­ti­on­Ser­verKey ‑Passphrase “<PassPhrase>” ‑Service­Ap­p­li­ca­ti­on­Proxy $proxy ausführen à Secure Store Einträge werden angezeigt
    • Refresh key

Joachim von Seyde­witz

Solution Archi­tect



Kontakt

Ihr Anliegen. Unsere Experten. Erleben Sie netunite. Wir freuen uns auf Ihre Anfrage.
Gerne sind wir auch telefonisch unter 089/8906599-0 oder per E-Mail unter info@netunite.eu für Sie erreichbar.

netunite AG
Lindwurmstraße 97
80337 München


Pflichtfeld

Pflichtfeld


Absenden
Absenden

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung. Akzeptieren