Microsoft Entra ID-Anwendung basierend auf selbstsigniertem Zertifikat erstellen

Diese Anleitung beschreibt die Umstellung der SharePoint-Authentifizierung von ACS auf Entra ID (S2S) mit einem selbstsignierten Zertifikat.

Selbstsigniertes Zertifikat erstellen

Variante A: Zertifikat MIT Passwort exportieren (ab BC25)

Verwenden Sie diese Variante, wenn Ihre Business Central Version passwortgeschützte PFX-Dateien unterstützt (ab BC25).
Führen Sie die folgenden Befehle in der PowerShell (als Administrator) aus:

# 1. Zertifikat im lokalen Speicher erstellen (2 Jahre gueltig)
$cert = New-SelfSignedCertificate -DnsName "BC-SharePoint-S2S" -CertStoreLocation "cert:\LocalMachine\My" -NotAfter (Get-Date).AddYears(2) -KeySpec Signature

# 2. Ordner anlegen
New-Item -ItemType Directory -Force -Path "C:\ZERT"

# 3. Öffentlichen Teil exportieren (.cer)
Export-Certificate -Cert $cert -FilePath "C:\ZERT\Zertifikat.cer"

# 4. Passwort als SecureString vorbereiten
# Ersetzen Sie "CertPass#26" unbedingt durch ein eigenes, sicheres Passwort.
$pwd = ConvertTo-SecureString -String "CertPass#26" -Force -AsPlainText

# 5. Privaten Schluessel (.pfx) exportieren
Export-PfxCertificate -Cert $cert -FilePath "C:\ZERT\BCServer.pfx" -Password $pwd

Variante B: Zertifikat OHNE Passwort exportieren (unter BC25)

Important

In Versionen unter Business Central 25 gibt es eine Einschränkung: Zertifikate funktionieren nur ohne Passwort. Exportieren Sie in diesem Fall die PFX-Datei ohne Passwort.

# 1. Zertifikat im lokalen Speicher erstellen (2 Jahre gueltig)
# KeyExportPolicy ist auf Exportable gesetzt, damit der PFX-Export funktioniert.
$cert = New-SelfSignedCertificate -DnsName "BC-SharePoint-S2S" `
     -CertStoreLocation "cert:\LocalMachine\My" `
     -NotAfter (Get-Date).AddYears(2) `
     -KeySpec Signature `
     -KeyExportPolicy Exportable

# 2. Ordner erstellen, falls er noch nicht existiert
$exportPath = "C:\ZERT"
if (!(Test-Path $exportPath)) {
     New-Item -ItemType Directory -Force -Path $exportPath
}

# 3. Öffentlichen Teil exportieren (.cer)
Export-Certificate -Cert $cert -FilePath "$exportPath\Zertifikat.cer"

# 4. Leeres Passwort für BC Kompatibilität vorbereiten
$emptyPwd = New-Object System.Security.SecureString

# 5. Privaten Schluessel (.pfx) OHNE Passwort exportieren
Export-PfxCertificate -Cert $cert -FilePath "$exportPath\BCServer.pfx" -Password $emptyPwd

Konfiguration im Azure-Portal (Entra ID)

1. Navigieren Sie zu App-Registrierungen und wählen Sie Ihre App aus. Falls notwendig, erstellen Sie eine neue Entra-App. Notieren Sie die Anwendungs-ID (Client ID) und bewahren Sie diese sicher auf.

2. Wechseln Sie zu Zertifikate & Geheimnisse, klicken Sie auf Zertifikat hochladen und wählen Sie die Datei Zertifikat.cer aus.

Nach Bestätigung wird das Zertifikat erfolgreich zugeordnet:

3. Konfigurieren Sie die API-Berechtigungen:

   • Berechtigung hinzufügen -> SharePoint -> Anwendungsberechtigungen
   • Wählen Sie Sites.FullControl.All
   • Klicken Sie zwingend auf Administratorzustimmung für [Tenant] erteilen („Grant admin consent for [Tenant]“)

   

Tip

Anstelle von Sites.FullControl.All können Sie auch Sites.Selected verwenden, um die API-Berechtigungen auf bestimmte SharePoint-Sites einzuschränken. Die Konfiguration von Sites.Selected ist in der Anleitung Microsoft Entra ID-Anwendung basierend auf Client-Anmeldeinformationen erstellen beschrieben.

Konfiguration in der DMS OAuth Applikation in Business Central

1. Öffnen Sie die DMS OAuth Applikation und erstellen Sie eine neue OAuth-App.

2. Setzen Sie die folgenden Werte:
   • Autorisierungsmethode: Client Certificate
   • Client ID: Entra App-ID
   • Scope: https://<Your Domain>.sharepoint.com/.default
   • Resource: https://<Your Domain>.sharepoint.com/

3. Klicken Sie auf Upload certificate und laden Sie die Datei .pfx hoch.

4. Nach dem Hochladen ist die Zertifikatsdatei registriert (Status: Configured).

5. Klicken Sie auf Set Zertifikate Password und geben Sie das Passwort ein. Wenn Sie unter Business Central 25 die PFX-Datei ohne Passwort exportiert haben, wird dieser Schritt übersprungen.

6. Das Zertifikate-Passwort ist danach eingerichtet (Status: Configured).

7. Tragen Sie als Access Token URL folgende Adresse ein:

   https://login.microsoftonline.com/<Tenant ID>/oauth2/token

8. Testen Sie die Verbindung mit Request Access Token.

9. Richten Sie abschliessend die neue Autorisierungsmethode auf der Seite Credentials - Document Management System ein und verwenden Sie diese anschliessend direkt in den Bibliotheken.

Feedback
Senden Sie Feedback für diese Seite. (Beachten Sie, dass diese Umfrage auf Englisch ist.)