Поделиться через

  • Статья

Пошаговое руководство. Создание сертификата и ролей пользователей для Service Provider Foundation

 

Опубликовано: Июль 2016

Применимо к: System Center 2012 SP1 - Orchestrator, System Center 2012 R2 Orchestrator

В этом пошаговом руководстве описывается порядок администрирования важных задач для управления сертификатами и ролями пользователей в Service Provider Foundation. Вначале показано, как создать самозаверяющий сертификат, если вы еще не работаете с сертификатом, подписанным издателем. Затем описывается получение открытого ключа сертификата и создание с помощью этого ключа клиента в Service Provider Foundation и ролей пользователей в System Center 2012 — Virtual Machine Manager (VMM).

Это пошаговое руководство состоит из следующих разделов и процедур. Процедуры предназначены для последовательного выполнения, хотя они содержат информацию, необходимую и для запуска их по отдельности (при необходимости). Эти процедуры являются задачами, которые должен выполнять администратор поставщика услуг размещения.

Раздел Процедуры
Создание сертификата Создание самозаверяющего сертификата для клиентов
Получение и экспорт ключей Экспорт открытого ключа 
 Экспорт закрытого ключа 
 Получение открытого ключа в Windows PowerShell.
Создание клиента и его роли пользователя Создание клиента с помощью открытого ключа сертификата 
 Создание роли администратора клиентов в VMM 
 Создание для клиента роли пользователя самообслуживания

Создание сертификата

Приведенная ниже процедура описывает создание сертификата для клиента с помощью makecert.exe (Certificate Creation Tool).

Создание самозаверяющего сертификата для клиентов

  1. Откройте командную строку как администратор.

  2. Создайте сертификат с помощью следующей команды:

    makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange

    Эта команда помещает сертификат в хранилище сертификатов текущего пользователя.

Доступ к сертификату, который вы создали

  1. На экране Пуск введите certmgr.msc и затем в окне результатов Приложения щелкните certmgr.msc.

  2. В окне certmgr щелкните Сертификаты — текущий пользователь, откройте папку Личное и затем откройте папку Сертификаты, чтобы просмотреть только что созданный сертификат.

Получение и экспорт ключей

Процедуры в этом разделе показывают, как экспортировать открытый и закрытый ключи из файлов сертификатов. Открытый ключ привязывается к клиенту в Service Provider Foundation для последующей проверки утверждений, сделанных клиентом или от его имени. Раздел содержит процедуру получения открытого ключа непосредственно в сеансе PowerShell.

Экспорт открытого ключа

  1. Откройте папку сертификаты, чтобы просмотреть сертификат, как описано в процедуре Доступ к сертификату, который вы создали.

  2. Щелкните сертификат правой кнопкой мыши, в контекстном меню выберите Все задачи и затем нажмите Экспорт.

  3. После страницы приветствия на странице Экспорт закрытого ключа выберите Нет, не экспортировать закрытый ключ и затем нажмите Далее.

  4. На странице Формат экспортируемого файла выберите Файлы в Base-64-кодировке X.509 (.CER) и нажмите Далее.

  5. На странице Имя файла экспорта укажите путь и имя файла сертификата и затем нажмите Далее.

  6. На странице Завершение мастера экспорт сертификатов нажмите кнопку Готово.

Экспорт закрытого ключа

  1. Откройте папку сертификаты, чтобы просмотреть сертификат, как описано в процедуре Доступ к сертификату, который вы создали.

  2. Щелкните сертификат правой кнопкой мыши, в контекстном меню выберите Все задачи и затем нажмите Экспорт.

  3. После страницы приветствия на странице Экспорт закрытого ключа выберите Да, экспортировать закрытый ключ и затем нажмите Далее.

    Если выбор "Да" отключен, это означает, что команда makecert для создания сертификата выполнялась без параметра -pe.

  4. На странице Формат экспортируемого файла выберите Файл обмена личной информацией — PKCS #12 (.PFX), установите флажок Включить по возможности все сертификаты в путь сертификата и затем нажмите кнопку Далее.

  5. На странице Безопасность выберите параметр Пароль:, введите и подтвердите пароль, а затем нажмите кнопку Далее.

  6. На странице Имя файла экспорта укажите путь и имя файла сертификата и затем нажмите Далее.

  7. На странице Завершение мастера экспорт сертификатов нажмите кнопку Готово.

Получение открытого ключа в Windows PowerShell.

  1. Открытый ключ можно получить непосредственно из экспортированного CER-файла сертификата открытого ключа с помощью классов шифрования .NET Framework. Для получения ключа из файла открытого ключа сертификата, экспортированного в процедуре Экспорт открытого ключа, выполните следующие команды:

    PS C:\> $path = "C:\Temp\tenant4D.cer"  
PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  
PS C:\> $key = [Convert]::ToBase64String($cert.RawData)

    В следующей процедуре используется только что созданная переменная $key.

Создание клиента и его роли пользователя

Service Provider Foundation не создает роли пользователей и не определяет их область (например, облака), ресурсы или действия. Вместо этого командлет New-SCSPFTenantUserRole создает для клиента связь с именем роли пользователя. Создав связь, он также генерирует ИД, который может использоваться для соответствующего ИД при создании роли в System Center 2012 — Virtual Machine Manager.

Роли пользователей можно создать также с помощью службы протокола OData администратора, которая использует URI, описанный в статье Service Provider Foundation Developer's Guide (Руководство разработчика Service Provider Foundation).

Создание клиента с помощью открытого ключа сертификата

  1. Запустите командную оболочку System Center 2012 Service Provider Foundation как администратор.

  2. Введите приведенную ниже команду для создания клиента. Здесь предполагается, что переменная $key содержит открытый ключ, полученный в процедуре Получение открытого ключа в Windows PowerShell..

    PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" –Key $key

  3. Убедитесь, что открытый ключ для клиента успешно импортирован, выполнив следующую команду и просмотрев результаты:

    PS C:\> Get-SCSPFTrustedIssuer

    В следующей процедуре используется только что созданная переменная $tenant.

Создание роли администратора клиентов в VMM

  1. Введите следующая команда и подтвердите согласие на это повышение прав для командной оболочки Windows PowerShell:

    PS C:\> Set-Executionpolicy remotesigned

  2. Введите следующую команду импорта модуля Virtual Machine Manager:

    PS C:\> Import-Module virtualmachinemanager

  3. Для создания роли пользователя используйте командлет Windows PowerShell T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New-SCUserRole. Здесь предполагается, что переменная $tenant была создана, как описано в процедуре Создание клиента с помощью открытого ключа сертификата.

    PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin
    System_CAPS_ICON_caution.jpg Внимание!

    Обратите внимание, что если роль пользователя ранее создана с помощью консоли администрирования VMM, ее разрешения заменяются разрешениями, заданными в командлете New-SCSUserRole.

  4. Убедитесь, что роль пользователя создана — она должна быть в списке Роли пользователей в рабочей области Параметры консоли администрирования VMM.

  5. Выбрав роль и нажав Свойства на панели инструментов, задайте для роли следующие свойства:

    • На вкладке Область выберите одно или несколько облаков.

    • На вкладке Ресурсы добавьте любые ресурсы, например шаблоны.

    • На вкладке Действия выберите одно или несколько действий.

    Повторите эту процедуру для всех серверов, привязанных к клиенту.

    В следующей процедуре используется только что созданная переменная $TARole.

Создание для клиента роли пользователя самообслуживания

  1. Введите следующую команду, чтобы создать пользователя самообслуживания в Service Provider Foundation для клиента, созданного в процедуре Создание клиента с помощью открытого ключа сертификата.

    PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant

  2. Создайте соответствующую роль пользователя клиента в VMM, выполнив следующую команду:

    PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID

  3. Убедитесь, что роль пользователя создана — она должна быть в списке Роли пользователей в рабочей области Параметры консоли администрирования VMM. Обратите внимание, что родительской ролью для роли является администратор клиента.

При необходимости повторите эту процедуру для клиента.

См. также

Управление сертификатами и ролями пользователей в Service Provider Foundation
Администрирование Service Provider Foundation
Рекомендуемые средства администратора в Service Provider Foundation
Настройка порталов для Service Provider Foundation