Upgrade Secure Store Service — wie war nochmal die PassPhrase?

Beim Upgrade der Secure Store Service­an­wen­dung muss die PassPhrase einge­geben werden, mit der in Share­Point 2010 der MasterKey generiert wurde. Was tun, wenn die PassPhrase nicht mehr bekannt ist?

Im Rahmen eines Upgrades von Share­Point 2010 nach Share­Point 2013 sind je nach Nutzung neben den Inhalts­da­ten­banken auch Service­da­ten­banken zu migrieren. Eine dieser Service Anwen­dungen ist der in Share­Point 2010 einge­führte Secure Store Service. Vor der Verwen­dung der Secure Store Service­an­wen­dung in Share­Point 2010 muss ein sog. Verschlüs­se­lungs­schlüssel (Master Key) generiert werden. Dazu muss der Share­Point Adminis­trator eine PassPhrase eingeben (Es handelt sich hierbei nicht um die PassPhrase für die Farm, welche zum Hinzu­fügen und Entfernen von Servern in der Farm benötigt wird). Genau diese PassPhrase wird bei dem Upgrade auf Share­Point 2013 wieder benötigt! Aus der einge­ge­benen PassPhrase wird der Verschlüs­se­lungs­schlüssel generiert, welcher dazu verwendet wird, um damit die in der Secure Store Daten­bank gespei­cherten Anmel­de­in­for­ma­tionen zu verschlüs­seln. Der Verschlüs­se­lungs­schlüssel ist in der Farm gespei­chert, kann aber nicht ausge­lesen werden. Nur mit dem Verschlüs­se­lungs­schlüssel können die Anmel­de­daten in der Secure Store Daten­bank entschlüs­selt und in Anwen­dungen, z.B. Externen Inhalts­typen, verwendet werden.

Beim Upgrade der Secure Store Service­an­wen­dung nach Share­Point 2013 ist eine neue Secure Store Dienst­an­wen­dung zu erstellen, welche auf die wieder­her­ge­stellte SP2010 Secure Store Dienst­da­ten­bank referen­zieren muss. Beim Öffnen der Dienst­an­wen­dung wird dann folgende Meldung angezeigt: Unable to obtain master key.

Die Meldung kommt, da in der SP2013 Farm noch kein passender Verschlüs­se­lungs­schlüssel gespei­chert ist, d.h. die Daten in der aktua­li­sierten Dienst­da­ten­bank können nicht entschlüs­selt werden. Der Verschlüs­se­lungs­schlüssel für Share­Point 2013 muss mittels Update-SPSecu­reS­to­reAp­p­li­ca­ti­on­Ser­verKey neu generiert werden, wozu aller­dings die Passphrase, die damals in Share­Point 2010 einge­geben wurde, einzu­geben ist. Die Ausfüh­rung von Update-SPSecu­reS­to­reAp­p­li­ca­ti­on­Ser­verKey mit ungül­tiger PassPhrase liefert folgenden Fehler: Excep­tion of type ‘Microsoft.Office.SecureStoreService.Server.KeyManagement.InvalidMasterKeyException’ was thrown.

Was tun, wenn die PassPhrase nicht mehr bekannt ist?

Wie oben erwähnt sind die Daten in der Secure Store Service­da­ten­bank verschlüs­selt. Können die Daten nicht entschlüs­selt werden, so sind diese nutzlos, was aber – je nach Nutzung – einen erheb­li­chen Einfluss auf Anwen­dungen hat, die den Secure Store Service verwenden.

Um das Problem zu lösen müssen wir vor dem Upgrade in der Secure Store Service­an­wen­dung in Share­Point 2010 einen neuen Verschlüs­se­lungs­schlüssel unter Eingabe einer neuen PassPhrase – die dann gut und sicher dokumen­tiert wird — generieren. Share­Point selber kennt den alten Verschlüs­se­lungs­schlüssel und kann daher die Anmel­de­daten entschlüs­seln und mit dem neuen Verschlüs­se­lungs­schlüssel, von dem wir die PassPhrase nun kennen, verschlüs­seln. Fertig!

Zusam­men­fas­sung:

  • In SP2010
    • Generate New Key und PassPhrase dokumen­tieren
    • Refresh Key
  • In SP2013
    • Dienst­da­ten­bank wieder­her­stellen
    • Dienst­an­wen­dung neu erstellen und auf Dienst­da­ten­bank verweisen
    • Update-SPSecu­reS­to­reAp­p­li­ca­ti­on­Ser­verKey -Passphrase “<PassPhrase>” -Service­Ap­p­li­ca­ti­on­Proxy $proxy ausführen à Secure Store Einträge werden angezeigt
    • Refresh key

Best Practices zum Secure Store Service befinden sich im Technet, siehe Secure store service prepa­ra­tion

Joachim von Seyde­witz

Solution Archi­tect

Keine Kommentare

Tut uns sehr leid, das Kommentarformular ist zur Zeit geschlossen.