Exemplarische Vorgehensweise: Erstellen eines Zertifikat und von Benutzerrollen für Service Provider Foundation

Veröffentlicht: Juli 2016

Gilt für: System Center 2012 SP1 - Orchestrator, System Center 2012 R2 Orchestrator

In dieser exemplarischen Vorgehensweise erfahren Sie, wie Sie wichtige Tasks zur Verwaltung von Zertifikaten und Benutzerrollen in Service Provider Foundation verwalten. Wenn Sie nicht bereits mit einem vom Aussteller signierten Zertifikat arbeiten, besteht der erste Schritt darin, ein selbstsigniertes Zertifikat zu generieren. Als nächstes beziehen Sie den öffentlichen Schlüssel des Zertifikates und erstellen mit diesem Schlüssel einen Mandanten in Service Provider Foundation und Benutzerrollen in System Center 2012 – Virtual Machine Manager (VMM).

Diese exemplarische Vorgehensweise ist in folgende Vorgehensweisen und Prozeduren unterteilt. Die Vorgehensweisen sind für die sequenzielle Ausführung gedacht. Sie enthalten jedoch alle Informationen, die für die individuelle Ausführung erforderlich sind. Bei den Vorgehensweisen handelt es sich um Aufgaben, die vom Hosteradministrator auszuführen sind.

In der folgenden Vorgehensweise wird beschrieben, wie Sie mithilfe von makecert.exe (Certificate Creation Tool) ein Zertifikat für einen Mandanten erstellen.

So erstellen Sie ein selbstsigniertes Zertifikat für einen Mandanten

1. Öffnen Sie eine Eingabeaufforderung als Administrator.

2. Generieren Sie das Zertifikat, indem Sie den folgenden Befehl ausführen:

   makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange  
   

   Mit diesem Befehl wird das Zertifikat im Zertifikatspeicher des aktuellen Benutzers abgelegt.

So greifen Sie auf das von Ihnen erstellte Zertifikat zu

1. Geben Sie im Bildschirm Start den Befehl certmgr.msc ein, und klicken Sie dann in den Ergebnissen für Anwendungen auf certmgr.msc.

2. Klicken Sie im Fenster certmgr auf Zertifikate – Aktueller Benutzer, öffnen Sie den Ordner Eigene Zertifikate und anschließend den Ordner Zertifikate, um das gerade von Ihnen generierte Zertifikat anzuzeigen.

In der Vorgehensweise in diesem Abschnitt wird Ihnen demonstriert, wie Sie öffentliche und private Schlüssel aus Zertifikatdateien exportieren. In Service Provider Foundation ordnen Sie einem Mandanten einen öffentlichen Schlüssel zu, um später Ansprüche des Mandanten, oder Ansprüche im Namen des Mandanten, zu überprüfen. Die Vorgehensweise in diesem Abschnitt zeigt Ihnen, wie Sie den öffentlichen Schlüssel direkt in Ihrer PowerShell-Sitzung beziehen.

So exportieren Sie den öffentlichen Schlüssel

1. Öffnen Sie, wie in So greifen Sie auf das von Ihnen erstellte Zertifikat zu beschrieben, Ihren Ordner Zertifikate, um das Zertifikat anzuzeigen.

2. Klicken Sie mit der rechten Maustaste auf das Zertifikat, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Exportieren.

3. Wählen Sie nach der Willkommensseite auf der Seite Privaten Schlüssel exportieren die Option Nein, privaten Schlüssel nicht exportieren aus, und klicken Sie dann auf Weiter.

4. Wählen Sie auf der Seite Format der zu exportierenden Datei die Option Base-64-codiert X.509 (.CER) aus, und klicken Sie dann auf Weiter.

5. Geben Sie auf der Seite Zu exportierende Datei einen Pfad und Dateinamen für das Zertifikat an, und klicken Sie dann auf Weiter.

6. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

So exportieren Sie den privaten Schlüssel

1. Öffnen Sie, wie in So greifen Sie auf das von Ihnen erstellte Zertifikat zu beschrieben, Ihren Ordner Zertifikate, um das Zertifikat anzuzeigen.

2. Klicken Sie mit der rechten Maustaste auf das Zertifikat, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Exportieren.

3. Wählen Sie nach der Seite Willkommen auf der Seite Privaten Schlüssel exportieren die Option Ja, privaten Schlüssel exportieren aus, und klicken Sie dann auf Weiter.

   Falls diese Option deaktiviert ist, liegt der Grund hierfür darin, dass der Befehl makecert zum Erstellen des Zertifikates nicht die Option -pe enthielt.

4. Wählen Sie auf der Seite Format der zu exportierenden Datei die Option Privater Informationsaustausch - PKCS #12 (.PFX) aus, und aktivieren Sie das Kontrollkästchen Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen. Klicken Sie anschließend auf Weiter.

5. Wählen Sie auf der Seite Sicherheit die Option Kennwort: aus, geben Sie ein Kennwort ein, und bestätigen Sie es, und klicken Sie dann auf Weiter.

6. Geben Sie auf der Seite Zu exportierende Datei einen Pfad und Dateinamen für das Zertifikat an, und klicken Sie dann auf Weiter.

7. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

So beziehen Sie den öffentlichen Schlüssel in Windows PowerShell

1. Mithilfe der .NET Framework-Kryptographieklassen können Sie den öffentlichen Schlüssel direkt aus einer exportierten Zertifikatsdatei mit öffentlichen Schlüssel (.CER) beziehen. Führen Sie die folgenden Befehle aus, um den Schlüssel aus der öffentlichen Schlüsseldatei des Zertifikats zu beziehen, den Sie in So exportieren Sie den öffentlichen Schlüssel exportiert haben.

   PS C:\> $path = "C:\Temp\tenant4D.cer"  
   PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  
   PS C:\> $key = [Convert]::ToBase64String($cert.RawData)  
   

   Bei der nächsten Vorgehensweise wird die von Ihnen gerade erstellte Variable $key verwendet.

Von Service Provider Foundation werden keine Benutzerrollen erstellt oder deren Geltungsbereich (z. B. Clouds), Ressourcen oder Aktionen festgelegt. Stattdessen wird vom Cmdlet New-SCSPFTenantUserRole eine Zuordnung von einem Mandanten mit dem Namen einer Benutzerrolle vorgenommen. Nachdem diese Zuordnung erstellt wurde, wird auch eine ID erstellt, die für die entsprechende ID zum Erstellen der Rolle in System Center 2012 – Virtual Machine Manager verwendet werden kann.

Sie können Benutzerrollen auch mithilfe des Administrator-OData-Protokolldiensts erstellen, von dem Service Provider Foundation Developer's Guide (Service Provider Foundation-Entwicklerhandbuch) verwendet wird.

So erstellen Sie einen Mandanten mit dem öffentlichen Schlüssel des Zertifikats

1. Führen Sie die System Center 2012 Service Provider Foundation-Befehlsshell als Administrator aus.

2. Geben Sie folgenden Befehl zum Erstellen des Mandanten ein. Voraussetzung für diesen Befehl ist es, dass die Variable $key den in So beziehen Sie den öffentlichen Schlüssel in Windows PowerShell bezogenen öffentlichen Schlüssel enthält.

   PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" –Key $key  
   

3. Stellen Sie sicher, dass der öffentliche Schlüssel für den Mandanten erfolgreich importiert wurde, indem Sie den folgenden Befehl ausführen und die Ergebnisse überprüfen:

   PS C:\> Get-SCSPFTrustedIssuer  
   

   Bei der nächsten Vorgehensweise wird die von Ihnen gerade erstellte Variable $tenant verwendet.

So erstellen Sie eine Mandantenadministratorrolle in VMM

1. Geben Sie den folgenden Befehl ein, und stimmen Sie der Erhöhung der Rechte für die Windows PowerShell-Befehlsshell zu:

   PS C:\> Set-Executionpolicy remotesigned  
   

2. Geben Sie folgenden Befehl ein, um das Modul Virtual Machine Manager zu importieren.

   PS C:\> Import-Module virtualmachinemanager  
   

3. Erstellen Sie die Benutzerrolle mit dem Windows PowerShell-Cmdlet T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New-SCUserRole. Voraussetzung für diesen Befehl ist es, dass die Variable $tenant wie in So erstellen Sie einen Mandanten mit dem öffentlichen Schlüssel des Zertifikats beschrieben erstellt wurde.

   PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin  
   

   Achtung
   Hinweis: Wenn die Benutzerrolle zuvor mit der VMM-Administrationskonsole erstellt wurde, werden die vorhandenen Berechtigungen durch die im Cmdlet New-SCSUserRole angegebenen Berechtigungen ersetzt.

4. Stellen Sie sicher, dass die Benutzerrolle erstellt wurde, indem Sie überprüfen, ob Sie in der VMM-Verwaltungskonsole im Arbeitsbereich Einstellungen unter Benutzerrollen angezeigt wird.

5. Legen Sie für die Rolle Folgendes fest, in dem Sie die Rolle auswählen und auf der Symbolleiste auf Eigenschaften klicken:

   • Wählen Sie auf der Registerkarte Bereich eine oder mehrere Clouds aus.

   • Fügen Sie auf der Registerkarte Ressourcen beliebige Ressourcen hinzu, z. B. Vorlagen.

   • Wählen Sie auf der Registerkarte Aktionen eine oder mehrere Aktionen aus.

   Wiederholen Sie diesen Vorgang für jeden dem Mandanten zugeordneten Server.

   Bei der nächsten Vorgehensweise wird die von Ihnen gerade erstellte Variable $TARole verwendet.

So erstellen Sie eine Mandanten-Self-Service-Benutzerrolle

1. Geben Sie den folgenden Befehl ein, um für den in Service Provider Foundation erstellten Mandanten einen Self-Service-Benutzer in So erstellen Sie einen Mandanten mit dem öffentlichen Schlüssel des Zertifikats zu erstellen.

   PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant   
   

2. Erstellen Sie die entsprechende Mandantenbenutzerrolle in VMM, indem Sie den folgenden Befehl eingeben:

   PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID  
   

3. Stellen Sie sicher, dass die Benutzerrolle erstellt wurde, indem Sie überprüfen, ob Sie in der VMM-Verwaltungskonsole im Arbeitsbereich Einstellungen unter Benutzerrollen angezeigt wird. Beachten Sie, dass die übergeordnete Rolle dieser Rolle der Mandantenadministrator ist.

Wiederholen Sie diesen Vorgang für den Mandanten nach Bedarf.

Verwalten von Zertifikaten und Benutzerrollen in Service Provider Foundation
Verwalten von Service Provider Foundation
Empfohlene Administratorfunktionen in Service Provider Foundation
Konfigurieren von Portalen für Service Provider Foundation