Compartir a través de


Tutorial: Creación de un certificado y de roles de usuario para Service Provider Foundation

 

Publicado: julio de 2016

Se aplica a: System Center 2012 SP1 - Orchestrator, System Center 2012 R2 Orchestrator

Este tutorial muestra cómo administrar tareas importantes para la administración de certificados y roles de usuario en Service Provider Foundation. Para empezar, se mostrará cómo generar un certificado autofirmado en caso de que no trabaje ya con un certificado firmado del emisor. A continuación, se mostrará cómo obtener la clave pública del certificado y cómo usar dicha clave para crear el inquilino en Service Provider Foundation, así como los roles de usuario en System Center 2012 – Virtual Machine Manager (VMM).

Este tutorial se organiza en las secciones y procedimientos siguientes. Los procedimientos están diseñados para realizarse de forma secuencial, aunque contienen la información que necesita para ejecutarlos de forma individual, según sea necesario. Estos procedimientos son tareas que el administrador del proveedor de servicios de hosting debe realizar.

Sección Procedimientos
Crear un certificado Para crear un certificado autofirmado para un inquilino
Obtener y exportar claves Para exportar la clave pública 
 Para exportar la clave privada 
 Para obtener la clave pública en Windows PowerShell
Crear el inquilino y sus roles de usuario Para crear un inquilino con la clave pública del certificado 
 Para crear un rol de administrador de inquilinos en VMM 
 Para crear un rol de usuario de autoservicio de inquilino

Crear un certificado

El procedimiento siguiente describe cómo crear un certificado para un inquilino mediante el archivo makecert.exe (Certificate Creation Tool).

Para crear un certificado autofirmado para un inquilino

  1. Abra un símbolo del sistema como administrador.

  2. Genere el certificado ejecutando el comando siguiente:

    makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange  
    

    Este comando coloca el certificado en el almacén de certificados del usuario actual.

Para tener acceso al certificado creado

  1. En la pantalla Inicio, escriba certmgr.msc y, a continuación, en los resultados Aplicaciones haga clic en certmgr.msc.

  2. En la ventana certmgr, haga clic en Certificados - Usuario actual, abra la carpeta Personal y, a continuación, abra la carpeta Certificados para ver el certificado que generó.

Obtener y exportar claves

Los procedimientos de esta sección muestran cómo exportar claves públicas y privadas desde los archivos de certificado. La clave pública debe asociarse a un inquilino en Service Provider Foundation para validar más adelante las notificaciones que realizó el inquilino o que se realizaron en su nombre. En esta sección se describe un procedimiento que muestra cómo obtener la clave pública directamente en la sesión de PowerShell.

Para exportar la clave pública

  1. Abra la carpeta Certificados para ver el certificado tal como se describe en el procedimiento Para tener acceso al certificado creado.

  2. Haga clic con el botón secundario en el certificado, haga clic en Todas las tareas y, a continuación, haga clic en Exportar.

  3. Después de la página de bienvenida, en la página Exportar clave privada, seleccione No exportar la clave privada y, a continuación, haga clic en Siguiente.

  4. En la página Formato de archivo de exportación, seleccione X.509 codificado base 64 (.CER) y, a continuación, haga clic en Siguiente.

  5. En la página Archivo para exportar, especifique la ruta de acceso y el nombre de archivo del certificado y, a continuación, haga clic en Siguiente.

  6. En la página Finalización del Asistente para exportación de certificados, haga clic en Finalizar.

Para exportar la clave privada

  1. Abra la carpeta Certificados para ver el certificado tal como se describe en el procedimiento Para tener acceso al certificado creado.

  2. Haga clic con el botón secundario en el certificado, haga clic en Todas las tareas y, a continuación, haga clic en Exportar.

  3. Después de la página de bienvenida, en la página Exportar clave privada, seleccione Exportar la clave privada y, a continuación, haga clic en Siguiente.

    Si la opción Sí está deshabilitada, es porque no se incluyó la opción makecert en el comando -pe que se utilizó para crear el certificado.

  4. En la página Formato de archivo de exportación, seleccione la opción Intercambio de información personal: PKCS #12 (.PFX), active la casilla Si es posible, incluir todos los certificados en la ruta de acceso de certificación y, a continuación, haga clic en Siguiente.

  5. En la página Seguridad, seleccione la opción Contraseña:, proporcione y confirme una contraseña y, a continuación, haga clic en Siguiente.

  6. En la página Archivo para exportar, especifique la ruta de acceso y el nombre de archivo del certificado y, a continuación, haga clic en Siguiente.

  7. En la página Finalización del Asistente para exportación de certificados, haga clic en Finalizar.

Para obtener la clave pública en Windows PowerShell

  1. Puede obtener la clave pública directamente del archivo de certificado de clave pública exportado (.CER) mediante las clases de criptografía de .NET Framework. Ejecute los comandos siguientes para obtener la clave pública del certificado exportada con el procedimiento Para exportar la clave pública.

    PS C:\> $path = "C:\Temp\tenant4D.cer"  
    PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  
    PS C:\> $key = [Convert]::ToBase64String($cert.RawData)  
    

    El procedimiento siguiente utiliza la variable $key que acaba de crear.

Crear el inquilino y sus roles de usuario

Service Provider Foundation no crea roles de usuario ni define los ámbitos (como, por ejemplo, las nubes), recursos o acciones. En su lugar, el cmdlet New-SCSPFTenantUserRole crea una asociación para el inquilino con un nombre de rol de usuario. Cuando se cree la asociación, también se generará un identificador que podrá utilizar para el identificador correspondiente para crear el rol en System Center 2012 – Virtual Machine Manager.

También puede crear roles de usuario mediante el servicio de protocolo Admin OData que usa la Service Provider Foundation Developer's Guide (Guía para desarrolladores de Service Provider Foundation).

Para crear un inquilino con la clave pública del certificado

  1. Ejecute el Shell de comandos de System Center 2012 Service Provider Foundation como Administrador.

  2. Escriba el comando siguiente para crear el inquilino. Este comando asume que la variable $key contiene la clave pública obtenida con el procedimiento Para obtener la clave pública en Windows PowerShell.

    PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" –Key $key  
    
  3. Asegúrese de que la clave pública del inquilino se haya importado correctamente. Para ello, ejecute el comando siguiente y consulte los resultados:

    PS C:\> Get-SCSPFTrustedIssuer  
    

    El procedimiento siguiente utiliza la variable $tenant que acaba de crear.

Para crear un rol de administrador de inquilinos en VMM

  1. Escriba el comando siguiente y acepte la elevación siguiente para el Shell de comandos de Windows PowerShell:

    PS C:\> Set-Executionpolicy remotesigned  
    
  2. Escriba el comando siguiente para importar el módulo Virtual Machine Manager:

    PS C:\> Import-Module virtualmachinemanager  
    
  3. Utilice el cmdlet de Windows PowerShell T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New-SCUserRole para crear el rol de usuario. Este comando asume que la variable $tenant se ha creado tal como se describe en el procedimiento Para crear un inquilino con la clave pública del certificado.

    PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin  
    
    System_CAPS_ICON_caution.jpg Precaución

    Tenga en cuenta que si el rol de usuario se creó anteriormente mediante la Consola de administración de VMM, sus permisos quedarán sobrescritos por los especificados por el cmdlet de New-SCSUserRole.

  4. Asegúrese de que el rol de usuario se haya creado. Para ello, compruebe que aparece en Roles de usuario en el área de trabajo Configuración de la Consola de administración de VMM.

  5. Seleccione el rol y haga clic en Propiedades en la barra de herramientas para definir la configuración siguiente para el rol:

    • En la pestaña Ámbito, seleccione una o varias nubes.

    • En la pestaña Recursos, agregue los recursos como, por ejemplo, las plantillas.

    • En la pestaña Acciones, seleccione una o varias acciones.

    Repita este procedimiento para todos los servidores asignados al inquilino.

    El procedimiento siguiente utiliza la variable $TARole que acaba de crear.

Para crear un rol de usuario de autoservicio de inquilino

  1. Escriba el comando siguiente para crear un usuario de autoservicio en Service Provider Foundation para el inquilino creado con el procedimiento Para crear un inquilino con la clave pública del certificado.

    PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant   
    
  2. Cree el rol de usuario de inquilino correspondiente en VMM. Para ello, escriba el comando siguiente:

    PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID  
    
  3. Asegúrese de que el rol de usuario se haya creado. Para ello, compruebe que aparece en Roles de usuario en el área de trabajo Configuración de la Consola de administración de VMM. Tenga en cuenta que el elemento primario del rol es el administrador de inquilinos.

Repita este procedimiento según sea necesario para el inquilino.

Vea también

Administrar certificados y roles de usuario en Service Provider Foundation
Administración de Service Provider Foundation
Capacidades de administrador recomendadas en Service Provider Foundation
Configuración de portales para Service Provider Foundation