Udostępnij za pośrednictwem

  • Artykuł

Przewodnik: Tworzenie certyfikatu i ról użytkowników dla platformy Service Provider Foundation

 

Data opublikowania: lipiec 2016

Dotyczy: System Center 2012 SP1 - Orchestrator, System Center 2012 R2 Orchestrator

W tym przewodniku przedstawiono sposób administrowania ważnymi zadaniami w celu zarządzania certyfikatami i rolami użytkownika w programie Platforma Service Provider Foundation. Najpierw zostanie przedstawiony sposób generowania certyfikatu z podpisem własnym, jeśli użytkownik nie pracuje jeszcze przy użyciu certyfikatu z podpisem wystawcy. Następnie zostanie przedstawiony sposób uzyskiwania klucza publicznego certyfikatu oraz użycia tego klucza w celu utworzenia dzierżawcy w programie Platforma Service Provider Foundation i ról użytkownika w programie System Center 2012 – Virtual Machine Manager (VMM).

Ten przewodnik zawiera następujące sekcje i procedury. Procedury należy wykonywać w kolejności, jednak zawierają one również informacje niezbędne do ich pojedynczego wykonania w razie potrzeby. Te procedury są zadaniami, które powinien wykonywać administrator dostawcy usług hostingowych.

Sekcja Procedury
Tworzenie certyfikatu Aby utworzyć certyfikat z podpisem własnym dla dzierżawcy
Uzyskiwanie i eksportowanie kluczy Aby wyeksportować klucz publiczny 
 Aby wyeksportować klucz prywatny 
 Aby uzyskać klucz publiczny w programie Windows PowerShell
Utwórz dzierżawcę i jego role użytkownika Aby utworzyć dzierżawcę przy użyciu klucza publicznego certyfikatu 
 Aby utworzyć rolę administratora dzierżawcy w programie VMM 
 Aby utworzyć rolę użytkownika samoobsługi dzierżawcy

Tworzenie certyfikatu

Poniżej opisano procedurę tworzenia certyfikatu dla dzierżawcy przy użyciu programu makecert.exe (Certificate Creation Tool).

Aby utworzyć certyfikat z podpisem własnym dla dzierżawcy

  1. Otwórz wiersz polecenia jako administrator.

  2. Wygeneruj certyfikat, uruchamiając następujące polecenie:

    makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange

    To polecenie zapisuje certyfikat w magazynie certyfikatów bieżącego użytkownika.

Aby uzyskać dostęp do utworzonego certyfikatu

  1. Na ekranie startowym wpisz certmgr.msc, a następnie na liście wyników w obszarze Aplikacje kliknij pozycję certmgr.msc.

  2. W oknie programu certmgr kliknij pozycję Certyfikaty — Bieżący użytkownik, otwórz folder Osobiste, a następnie otwórz folder Certyfikaty, aby wyświetlić wygenerowany certyfikat.

Uzyskiwanie i eksportowanie kluczy

W tej sekcji przedstawiono procedury eksportowania kluczy publicznych i prywatnych z plików certyfikatów. Użytkownik kojarzy klucz publiczny z dzierżawcą w programie Platforma Service Provider Foundation, aby móc później zweryfikować oświadczenia złożone przez dzierżawcę lub w jego imieniu. W tej sekcji przedstawiono procedurę uzyskiwania klucza publicznego bezpośrednio w sesji programu PowerShell.

Aby wyeksportować klucz publiczny

  1. Otwórz folder certyfikaty, aby wyświetlić certyfikat zgodnie z opisem w procedurze Aby uzyskać dostęp do utworzonego certyfikatu.

  2. Kliknij certyfikat prawym przyciskiem myszy, kliknij pozycję Wszystkie zadania, a następnie kliknij pozycję Eksportuj.

  3. Po wyświetleniu strony powitalnej na stronie Eksportowanie klucza prywatnego wybierz pozycję Nie eksportuj klucza prywatnego, a następnie kliknij przycisk Dalej.

  4. Na stronie Format pliku eksportu wybierz pozycję Certyfikat X.509 szyfrowany algorytmem Base-64 (CER), a następnie kliknij przycisk Dalej.

  5. Na stronie Eksport pliku określ ścieżkę i nazwę pliku certyfikatu, a następnie kliknij przycisk Dalej.

  6. Na stronie Kończenie pracy Kreatora eksportu certyfikatów kliknij przycisk Zakończ.

Aby wyeksportować klucz prywatny

  1. Otwórz folder certyfikaty, aby wyświetlić certyfikat zgodnie z opisem w procedurze Aby uzyskać dostęp do utworzonego certyfikatu.

  2. Kliknij certyfikat prawym przyciskiem myszy, kliknij pozycję Wszystkie zadania, a następnie kliknij pozycję Eksportuj.

  3. Po wyświetleniu strony powitalnej na stronie Eksportowanie klucza prywatnego wybierz pozycję Tak, eksportuj klucz prywatny, a następnie kliknij przycisk Dalej.

    Jeśli opcja Tak jest niedostępna, może to być spowodowane tym, że polecenie makecert użyte do utworzenia certyfikatu zostało wykonane bez opcji -pe.

  4. Na stronie Format pliku eksportu wybierz opcję Wymiana informacji osobistych — PKCS #12 (PFX), zaznacz pole wyboru Jeśli jest to możliwe, dołącz wszystkie certyfikaty do ścieżki certyfikacji, a następnie kliknij przycisk Dalej.

  5. Na stronie Zabezpieczenia wybierz opcję Hasło:, wprowadź i potwierdź hasło, a następnie kliknij przycisk Dalej.

  6. Na stronie Eksport pliku określ ścieżkę i nazwę pliku certyfikatu, a następnie kliknij przycisk Dalej.

  7. Na stronie Kończenie pracy Kreatora eksportu certyfikatów kliknij przycisk Zakończ.

Aby uzyskać klucz publiczny w programie Windows PowerShell

  1. Klucz publiczny możesz uzyskać bezpośrednio z wyeksportowanego pliku klucza publicznego certyfikatu (.CER) przy użyciu klas kryptograficznych oprogramowania .NET Framework. Uruchom następujące polecenia, aby uzyskać klucz z pliku klucza publicznego certyfikatu wyeksportowanego w ramach procedury Aby wyeksportować klucz publiczny.

    PS C:\> $path = "C:\Temp\tenant4D.cer"  

PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  

PS C:\> $key = [Convert]::ToBase64String($cert.RawData)

    W następnej procedurze jest używana zmienna $key, która została wcześniej utworzona.

Utwórz dzierżawcę i jego role użytkownika

Program Platforma Service Provider Foundation nie tworzy ról użytkownika ani nie definiuje ich zakresu (na przykład chmur), zasobów lub akcji. Zamiast tego polecenie cmdlet New-SCSPFTenantUserRole tworzy skojarzenie dzierżawcy z nazwą roli użytkownika. Po utworzeniu skojarzenia generowany jest również identyfikator, którego można użyć jako identyfikatora odpowiadającego roli tworzonej w programie System Center 2012 – Virtual Machine Manager.

Role użytkownika można tworzyć również przy użyciu usługi programu Admin protokołu OData, korzystając z Przewodnika dewelopera platformy Service Provider Foundation.

Aby utworzyć dzierżawcę przy użyciu klucza publicznego certyfikatu

  1. Uruchom powłokę poleceń platformy System Center 2012 Service Provider Foundation jako administrator.

  2. Wprowadź następujące polecenie, aby utworzyć dzierżawcę. W tym poleceniu założono, że zmienna $key zawiera klucz publiczny uzyskany w ramach procedury Aby uzyskać klucz publiczny w programie Windows PowerShell.

    PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" –Key $key

  3. Upewnij się, że klucz publiczny dzierżawcy został pomyślnie zaimportowany, uruchamiając następujące polecenie i wyświetlając wyniki:

    PS C:\> Get-SCSPFTrustedIssuer

    W następnej procedurze jest używana zmienna $tenant, która została wcześniej utworzona.

Aby utworzyć rolę administratora dzierżawcy w programie VMM

  1. Wprowadź następujące polecenie i zaakceptuj podniesienie uprawnień powłoki poleceń programu PowerShell:

    PS C:\> Set-Executionpolicy remotesigned

  2. Wprowadź następujące polecenie, aby zaimportować moduł programu Virtual Machine Manager:

    PS C:\> Import-Module virtualmachinemanager

  3. Utwórz rolę użytkownika przy użyciu polecenia cmdlet T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New-SCUserRole programu Windows PowerShell. W tym poleceniu założono, że zmienna $tenant została utworzona zgodnie z opisem w procedurze Aby utworzyć dzierżawcę przy użyciu klucza publicznego certyfikatu.

    PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin
    System_CAPS_ICON_caution.jpg Przestroga

    Należy pamiętać, że w przypadku wcześniejszego utworzenia roli przy użyciu konsoli administracji programu VMM uprawnienia roli zostaną zastąpione przez uprawnienia określone w poleceniu cmdlet New-SCSUserRole.

  4. Upewnij się, że rola użytkownika została utworzona: sprawdź, czy jest wyświetlana na liście w obszarze Role użytkowników w obszarze roboczym Ustawienia w konsoli administracji programu VMM.

  5. Określ następujące opcje dla roli, zaznaczając ją i klikając pozycję Właściwości na pasku narzędzi:

    • Na karcie Zakres wybierz co najmniej jedną chmurę.

    • Na karcie Zasoby dodaj dowolne zasoby, takie jak szablony.

    • Na karcie Akcje wybierz co najmniej jedną akcję.

    Powtórz tę procedurę dla każdego serwera przypisanego do dzierżawcy.

    W następnej procedurze jest używana zmienna $TARole, która została wcześniej utworzona.

Aby utworzyć rolę użytkownika samoobsługi dzierżawcy

  1. Wprowadź następujące polecenie, aby utworzyć użytkownika samoobsługi w programie Platforma Service Provider Foundation dla dzierżawcy utworzonego w ramach procedury Aby utworzyć dzierżawcę przy użyciu klucza publicznego certyfikatu.

    PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant

  2. Utwórz odpowiednią rolę użytkownika dzierżawcy w programie VMM, wprowadzając następujące polecenie:

    PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID

  3. Upewnij się, że rola użytkownika została utworzona: sprawdź, czy jest wyświetlana na liście w obszarze Role użytkowników w obszarze roboczym Ustawienia w konsoli administracji programu VMM. Należy zauważyć, że elementem nadrzędnym roli jest rola administratora dzierżawcy.

Powtórz tę procedurę dla dzierżawcy w razie potrzeby.

Zobacz też

Zarządzanie certyfikatami i rolami użytkownika w programie Service Provider Foundation
Administrowanie programem Service Provider Foundation
Zalecane możliwości administratora w programie Service Provider Foundation
Konfigurowanie portali dla programu Service Provider Foundation