Partilhar via


Instruções: Criar um Certificado e Funções de Utilizador para o Service Provider Foundation

 

Publicado: julho de 2016

Aplica-se A: System Center 2012 SP1 - Orchestrator, System Center 2012 R2 Orchestrator

Esta instrução mostram como administrar tarefas importantes para gerir certificados e funções de utilizador no Service Provider Foundation. Para iniciar, mostramos como gerar um certificado auto-assinado, se não estiver já a trabalhar com o certificado assinado de um emissor. Em seguida, mostramos como obter a chave pública do certificado e como utilizar essa chave para criar o inquilino no Service Provider Foundation e funções de utilizador no System Center 2012 – Virtual Machine Manager (VMM).

Esta instrução está organizada nas seguintes secções e procedimentos. Os procedimentos foram concebidos para serem executados sequencialmente, apesar de conterem as informações de que necessita para os executar individualmente conforme necessário. Estes procedimentos são tarefas para o administrador de fornecedores de alojamento executar.

Secção Procedimentos
Criar um certificado Para criar um certificado auto-assinado para um inquilino
Obter e exportar chaves Para exportar a chave pública 
 Para exportar a chave privada 
 Para obter a chave pública no Windows PowerShell
Criar o inquilino e as funções de utilizador dele Para criar um inquilino com a chave pública do certificado 
 Para criar uma função de administrador inquilino no VMM 
 Para criar uma função de utilizador self-service de inquilino

Criar um certificado

O procedimento seguinte descreve como criar um certificado para um inquilino utilizando makecert.exe (Certificate Creation Tool).

Para criar um certificado auto-assinado para um inquilino

  1. Abra uma linha de comandos como administrador.

  2. Gere o certificado executando o seguinte comando:

    makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange  
    

    Este comando coloca o certificado no Arquivo de Certificados do Utilizador Atual.

Para aceder ao certificado que criou

  1. No ecrã Iniciar, escreva certmgr.msc e, em seguida, nos resultados Aplicações clique em certmgr.msc.

  2. Na janela certmgr, clique em Certificados - Utilizador Atual, abra a pasta Pessoal e, em seguida, abra a pasta Certificados para ver o certificado que acabou de gerar.

Obter e exportar chaves

Os procedimentos desta secção mostram como exportar chaves públicas e privadas de ficheiros de certificados. Uma chave pública é associada a um inquilino no Service Provider Foundation para posterior validação das afirmações efetuadas ou efetuadas em nome de um inquilino. Esta secção inclui um procedimento que mostra como obter a chave pública diretamente na sessão do PowerShell.

Para exportar a chave pública

  1. Abra a pasta certificados para ver o certificado como descrito no procedimento Para aceder ao certificado que criou.

  2. Com o botão direito do rato clique no certificado, clique em Todas as Tarefas e, em seguida, clique em Exportar.

  3. Depois da página de Boas-vindas, na página Exportar Chave Privada, escolha Não, não exportar a chave privada e, em seguida, clique em Seguinte.

  4. Na página Exportar Formato de Ficheiro, selecione X.509 codificado com Base-64 (*.CER) e, em seguida, clique em Seguinte.

  5. Na página Ficheiro a Exportar, especifique um caminho e nome de ficheiro para o certificado e, em seguida, clique em Seguinte.

  6. Na página A Concluir o Assistente, clique em Concluir.

Para exportar a chave privada

  1. Abra a pasta certificados para ver o certificado como descrito no procedimento Para aceder ao certificado que criou.

  2. Com o botão direito do rato clique no certificado, clique em Todas as Tarefas e, em seguida, clique em Exportar.

  3. Depois da página Bem-vindo, na página Exportar Chave Privada, escolha Sim, exportar a chave privada e, em seguida, clique em Seguinte.

    Se a opção Sim estiver desativada, é porque o comando makecert para criar o certificado não incluiu a opção -pe.

  4. Na página Exportar Formato de Ficheiro, selecione a opção Personal Information Exchange – PKCS #12 (.PFX), assinale a caixa de verificação Incluir todos os certificados no caminho de certificação, se possível e, em seguida, clique em Seguinte.

  5. Na página Segurança, selecione a opção Palavra-passe:, forneça e confirme uma palavra-passe e, em seguida, clique em Seguinte.

  6. Na página Ficheiro a Exportar, especifique um caminho e nome de ficheiro para o certificado e, em seguida, clique em Seguinte.

  7. Na página A Concluir o Assistente, clique em Concluir.

Para obter a chave pública no Windows PowerShell

  1. Pode obter a chave pública diretamente a partir de um ficheiro de certificado de chave pública exportado (.CER), utilizando as classes de criptografia do .NET Framework. Execute os seguintes comandos para obter a chave do ficheiro de chave pública do certificado que exportou no procedimento Para exportar a chave pública.

    PS C:\> $path = "C:\Temp\tenant4D.cer"  
    
    PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  
    
    PS C:\> $key = [Convert]::ToBase64String($cert.RawData)  
    

    O seguinte procedimento utiliza a variável $key que acabou de criar.

Criar o inquilino e as funções de utilizador dele

O Service Provider Foundation não cria funções de utilizador nem define o seu âmbito (por exemplo, nuvens), recursos ou ações. Em vez disso, o cmdlet New-SCSPFTenantUserRole cria uma associação para um inquilino com um nome de função de utilizador. Quando essa associação é criada, também gera uma ID que pode ser utilizada para a ID correspondente que permite criar a função no System Center 2012 – Virtual Machine Manager.

Também pode criar funções de utilizador com o serviço do protocolo Admin OData que utiliza o Service Provider Foundation Developer's Guide (Guia de Programação do Service Provider Foundation).

Para criar um inquilino com a chave pública do certificado

  1. Execute a Shell de Comandos do System Center 2012 Service Provider Foundation como Administrador.

  2. Introduza o seguinte comando para criar o inquilino. Este comando assume que a variável $key contém a chave pública conforme obtida com o procedimento Para obter a chave pública no Windows PowerShell.

    PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" –Key $key  
    
  3. Certifique-se de que a chave pública do inquilino foi importada com êxito executando o seguinte comando e vendo os resultados:

    PS C:\> Get-SCSPFTrustedIssuer  
    

    O seguinte procedimento utiliza a variável $tenant que acabou de criar.

Para criar uma função de administrador inquilino no VMM

  1. Introduza o seguinte comando e aceite a sua elevação à shell de comandos do Windows PowerShell:

    PS C:\> Set-Executionpolicy remotesigned  
    
  2. Introduza o seguinte comando para importar o módulo do Virtual Machine Manager:

    PS C:\> Import-Module virtualmachinemanager  
    
  3. Utilize o cmdlet T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New-SCUserRole do Windows PowerShell para criar a função de utilizador. Este comando assume que a variável $tenant foi criada como descrito no procedimento Para criar um inquilino com a chave pública do certificado.

    PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin  
    
    System_CAPS_ICON_caution.jpg Atenção

    Tenha em atenção que se a função de utilizador tiver sido criada anteriormente utilizando a Consola de Administração do VMM, as permissões serão substituídas pelas especificadas no cmdlet New-SCSUserRole.

  4. Certifique-se de que a função de utilizador foi criada, verificando se está listada em Funções de Utilizador na área de trabalho Definições na Consola de Administração do VMM.

  5. Defina as seguintes opções para a função, selecionando a função e clicando em Propriedades na barra de ferramentas:

    • No separador Âmbito, selecione uma ou mais nuvens.

    • No separador Recursos, adicione quaisquer recursos, tais como modelos.

    • No separador Ações, selecione uma ou mais ações.

    Repita este procedimento para cada servidor atribuído ao inquilino.

    O seguinte procedimento utiliza a variável $TARole que acabou de criar.

Para criar uma função de utilizador self-service de inquilino

  1. Introduza o comando seguinte para criar um utilizador self-service no Service Provider Foundation para o inquilino que criou no procedimento Para criar um inquilino com a chave pública do certificado.

    PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant   
    
  2. Crie a função de utilizador inquilino correspondente no VMM, introduzindo o seguinte comando:

    PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID  
    
  3. Certifique-se de que a função de utilizador foi criada, verificando se está listada em Funções de Utilizador na área de trabalho Definições na Consola de Administração do VMM. Repare que a função principal da função é o administrador inquilino.

Repita este procedimento conforme necessário para o inquilino.

Consultar Também

Gerir Certificados e Funções de Utilizador no Service Provider Foundation
Administrar o Service Provider Foundation
Capacidades de Administrador Recomendadas no Service Provider Foundation
Configurar Portais para o Service Provider Foundation