Actualizar certificados Workflow Manager (CertificateAutogeneration Key changes)

1. Para el certificado autogenerado (CertificateAutogeneration Key) para la granja de SharePoint que ya tiene instalado Workflow Manager, siga los siguientes pasos:

En cualquiera de los servidores de SharePoint corra el siguiente cmdlet en powershell:


$FarmPassword = ConvertTo-SecureString -String MyFarmsPassword -AsPlainText –Force  
Set-WFCertificateAutogenerationKey –Key $FarmPassword

Aquí “MyFarmsPassword” es una clave cualquier que quieras utilizar.

 

2. Ahora en cada uno de los servidores de la granja debes correr los siguientes cmdlet de powershell:

Stop-WFHost -Verbose 

$FarmPassword = ConvertTo-SecureString -String MyFarmsPassword -AsPlainText -Force 

Update-WFHost -Cert $FarmPassword -Verbose

Start-WFHost -Verbose 

 

3. Una vez realizado lo anterior en cada servidor, procede a exportar el nuevo certificado a cada servidor de la granja de la siguiente manera: 

  1. En cada servidor donde tienes instalado el Workflow Manager corre el siguiente comando:
    1. Get-WFAutoGeneratedCA, esto exportará el certificado X.509 a la ruta c:/(user)/AutoGeneratedCA.cer
    2. Una vez exportado en cada servidor, se procede a instalar el mismo en cada uno de ellos, de la siguiente manera:
      1. Run > MMC
      2. Add the Certificates snap-in
      3. Pick the Computer Account and Local Computer options when asked
      4. In the MMC window, right click the Certificates\Trusted Root Certification Authorities, open ALL TASKS, and select Import, Select the AutoGeneratedCA.cer file and import it.

 

4. Seguido de esto te recomiendo que actualices por igual los certificados de Outbound del Workflow Manager, de la siguiente manera: 

  1. Run > MMC
    1. Add the Certificates snap-in
    2. Pick the Computer Account and Local Computer options when asked
    3. In the MMC window, right click the Certificates\Personal\Certificates
    4. Ahí encontrarás el nuevo certificado llamado WorkflowOutbound con la fecha más reciente creada.
    5. Click derecho, All Tasks y Exportar
  2. Una vez exportado, dirígete a SharePoint Central Administration > Security > Manage Trust
  3. Selecciona los Trusted Service Consumer que inicien con 00000005-0000-0000-c000-000000000000_*, haz click en Editar (verifica que el mismo contenga las frases CN=WorkflowOutbound dentro) > click en Browse y carga el nuevo certificado de WorkflowOutbound que recién exportaste.
  4. Repite el paso 3 para cada uno de los TSC.

Algo que destacar: Al actualizar los certificados puedes que te encuentres con algunos problemas, como por ejemplo, al correr un workflow te aparece un error que dice:

“Token contains invalid signature” issue with SharePoint and Project Server 2013 workflows a couple of times, and also referred to in the logs as Invalid JWT token – and the error shows “invalid client”

Normalmente se resuelve al día siguiente de la instalación de los nuevos certificados porque SharePoint debe correr unos jobs que solo corren una vez al día. Si quieres correrlos manualmente lee los siguientes posts:

 

Referencias: 

http://saravlamba.blogspot.com/2016/01/refresh-trusted-security-token-services.html

https://social.msdn.microsoft.com/Forums/sharepoint/en-US/684cd544-6f83-4d2d-87fd-1287db156941/workflow-not-running-on-newly-configured-server?forum=sharepointcustomizationprevious

https://social.msdn.microsoft.com/Forums/sqlserver/en-US/9a7cd1b0-096b-4ba3-b799-4b4f65f369ac/sharepoint-suspends-workflows-2013-with-http-unauthorized-error-after-the-reinstallation-workflow?forum=sharepointadmin

https://msdn.microsoft.com/en-us/library/jj729746(v=azure.10).aspx

https://msdn.microsoft.com/en-us/library/jj193494(v=azure.10).aspx

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *