Delen via

  • Artikel

Scenario: Een certificaat en gebruikersrollen maken voor Service Provider Foundation

 

Gepubliceerd: juli 2016

Is van toepassing op: System Center 2012 SP1 - Orchestrator, System Center 2012 R2 Orchestrator

Dit scenario laat zien hoe u belangrijke taken voor het beheer van zowel certificaten als gebruikersrollen beheert in Service Provider Foundation. Eerst laten we zien hoe u een zelfondertekend certificaat genereert als u nog niet werkt met een door de verlener ondertekend certificaat. Daarna laten we zien hoe u de openbare sleutel van een certificaat verkrijgt en hoe u die sleutel gebruikt voor het maken van de tenant in Service Provider Foundation en gebruikersrollen in System Center 2012 – Virtual Machine Manager (VMM).

Dit scenario is ingedeeld in de volgende secties en procedures. Het is de bedoeling dat de procedures na elkaar worden uitgevoerd, hoewel ze de benodigde informatie bevatten om ze desgewenst afzonderlijk uit te voeren. Deze procedures zijn taken die de hosterbeheerder moet uitvoeren.

Sectie Procedures
Een certificaat maken Een zelfondertekend certificaat maken voor een tenant
Sleutels verkrijgen en exporteren De openbare sleutel exporteren 
 De persoonlijke sleutel exporteren 
 De openbare sleutel verkrijgen in Windows PowerShell
De tenant en bijbehorende gebruikersrollen maken Een tenant maken met de openbare sleutel van het certificaat 
 Een beheerdersrol voor een tenant maken in VMM 
 Een selfservicegebruikersrol voor een tenant maken

Een certificaat maken

De volgende procedure beschrijft hoe u een certificaat voor een tenant maakt met makecert.exe (Certificate Creation Tool).

Een zelfondertekend certificaat maken voor een tenant

  1. Open een opdrachtprompt als beheerder.

  2. Genereer het certificaat door de volgende opdracht uit te voeren:

    makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange

    Met deze opdracht wordt het certificaat in het certificaatarchief van de huidige gebruiker geplaatst.

Toegang krijgen tot het certificaat dat u hebt gemaakt

  1. Op het scherm Start typt u certmgr.msc. Klik daarna in de resultaten bij Apps op certmgr.msc.

  2. Klik in het venster certmgr op Certificaten - Huidige gebruiker, open de map Persoonlijk en open daarna de map Certificaten om het zojuist gegenereerde certificaat weer te geven.

Sleutels verkrijgen en exporteren

De procedures in deze sectie laten zien hoe u openbare en persoonlijke sleutels uit certificaatbestanden exporteert. U koppelt een openbare sleutel aan een tenant in Service Provider Foundation om later claims te kunnen valideren die door of namens een tenant zijn gemaakt. Deze sectie bevat een procedure die laat zien hoe u de openbare sleutel rechtstreeks in uw PowerShell-sessie verkrijgt.

De openbare sleutel exporteren

  1. Open de map Certificaten om het certificaat weer te geven, zoals beschreven in de procedure Toegang krijgen tot het certificaat dat u hebt gemaakt.

  2. Klik met de rechtermuisknop op het certificaat, klik op Alle taken en klik daarna op Exporteren.

  3. Na de pagina Welkom verschijnt de pagina Persoonlijke sleutel exporteren. Kies Nee, de persoonlijke sleutel niet exporteren en klik op Volgende.

  4. Selecteer op de pagina Bestandsindeling voor export de optie Base-64 gecodeerde X.509 (.CER) en klik op Volgende.

  5. Geef op de pagina Te exporteren bestand een pad en bestandsnaam op voor het certificaat en klik op Volgende.

  6. Klik op de pagina De wizard Certificaat exporteren voltooien op Voltooien.

De persoonlijke sleutel exporteren

  1. Open de map Certificaten om het certificaat weer te geven, zoals beschreven in de procedure Toegang krijgen tot het certificaat dat u hebt gemaakt.

  2. Klik met de rechtermuisknop op het certificaat, klik op Alle taken en klik daarna op Exporteren.

  3. Na de pagina Welkom verschijnt de pagina Persoonlijke sleutel exporteren. Kies Ja, de persoonlijke sleutel exporteren en klik op Volgende.

    Als de optie Ja is uitgeschakeld, komt dat doordat in de opdracht makecert voor het maken van het certificaat niet de optie -pe is opgenomen.

  4. Selecteer op de pagina Bestandsindeling voor export de optie Personal Information Exchange – PKCS #12 (.PFX), schakel het selectievakje Indien mogelijk exporteren met alle certificaten in het certificeringspad in en klik op Volgende.

  5. Selecteer op de pagina Beveiliging de optie Wachtwoord: geef een wachtwoord op en bevestig het, en klik op Volgende.

  6. Geef op de pagina Te exporteren bestand een pad en bestandsnaam op voor het certificaat en klik op Volgende.

  7. Klik op de pagina De wizard Certificaat exporteren voltooien op Voltooien.

De openbare sleutel verkrijgen in Windows PowerShell

  1. U kunt de openbare sleutel rechtstreeks ophalen uit een geëxporteerd certificaatbestand met een openbare sleutel (.CER) door gebruik te maken van de cryptografieklassen van .NET Framework. Voer de volgende opdrachten uit om de sleutel op te halen uit het bestand met de openbare sleutel van het certificaat, dat u hebt geëxporteerd in de procedure De openbare sleutel exporteren.

    PS C:\> $path = "C:\Temp\tenant4D.cer"  

PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  

PS C:\> $key = [Convert]::ToBase64String($cert.RawData)

    De volgende procedure maakt gebruik van de variabele $key die u hebt gemaakt.

De tenant en bijbehorende gebruikersrollen maken

Service Provider Foundation maakt geen gebruikersrollen en definieert niet het bereik (zoals clouds), resources of acties ervan. In plaats daarvan maakt de cmdlet New-SCSPFTenantUserRole een koppeling voor een tenant met een gebruikersrolnaam. Wanneer deze koppeling wordt gemaakt, wordt ook een id gegenereerd die kan worden gebruikt voor de corresponderende id voor het maken van de rol in System Center 2012 – Virtual Machine Manager.

U kunt ook gebruikersrollen maken met de Admin OData-protocolservice die gebruikmaakt van de Service Provider Foundation Developer's Guide.

Een tenant maken met de openbare sleutel van het certificaat

  1. Voer de System Center 2012 Service Provider Foundation-opdrachtshell uit als Administrator.

  2. Voer de volgende opdracht in om de tenant te maken. Bij deze opdracht is ervan uitgegaan dat de variabele $key de openbare sleutel bevat die is verkregen met de procedure De openbare sleutel verkrijgen in Windows PowerShell.

    PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" –Key $key

  3. Controleer of de openbare sleutel voor de tenant met succes is geïmporteerd door de volgende opdracht uit te voeren en de resultaten weer te geven:

    PS C:\> Get-SCSPFTrustedIssuer

    De volgende procedure maakt gebruik van de variabele $tenant die u hebt gemaakt.

Een beheerdersrol voor een tenant maken in VMM

  1. Voer de volgende opdracht in en ga akkoord met deze uitbreiding van bevoegdheden voor de Windows PowerShell-opdrachtshell:

    PS C:\> Set-Executionpolicy remotesigned

  2. Voer de volgende opdracht in om de module Virtual Machine Manager te importeren:

    PS C:\> Import-Module virtualmachinemanager

  3. Gebruik de Windows PowerShell-cmdlet T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New-SCUserRole om de gebruikersrol te maken. Bij deze opdracht is ervan uitgegaan dat de variabele $tenant is gemaakt zoals beschreven in de procedure Een tenant maken met de openbare sleutel van het certificaat.

    PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin
    System_CAPS_ICON_caution.jpg Let op

    Als de gebruikersrol tevoren was gemaakt middels de VMM Administration Console, zouden de machtigingen ervan worden overschreven door de machtigingen zoals opgegeven door de cmdlet New-SCSUserRole.

  4. Controleer of de gebruikersrol is gemaakt door te controleren of deze vermeld staat in de Gebruikersrollen in de werkruimte Instellingen van de VMM Administration Console.

  5. Definieer het volgende voor de rol, door de rol te selecteren en te klikken op Eigenschappen op de werkbalk:

    • Selecteer een of meer clouds op het tabblad Bereik.

    • Voeg op het tabblad Resources eventuele resources toe, zoals sjablonen.

    • Selecteer een of meer acties op het tabblad Acties.

    Herhaal deze procedure voor elke server die is toegewezen aan de tenant.

    De volgende procedure maakt gebruik van de variabele $TARole die u hebt gemaakt.

Een selfservicegebruikersrol voor een tenant maken

  1. Voer de volgende opdracht in om een selfservicegebruiker te maken in Service Provider Foundation voor de tenant die u hebt gemaakt in de procedure Een tenant maken met de openbare sleutel van het certificaat.

    PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant

  2. Maak de corresponderende tenant-gebruikersrol in VMM door de volgende opdracht in te voeren:

    PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID

  3. Controleer of de gebruikersrol is gemaakt door te controleren of deze vermeld staat in de Gebruikersrollen in de werkruimte Instellingen van de VMM Administration Console. Merk op dat de bovenliggende rol van deze rol de Tenant Administrator is.

Herhaal deze procedure voor zover nodig voor de tenant.

Zie ook

Certificaten en gebruikersrollen beheren in Service Provider Foundation
Beheer van Service Provider Foundation
Aanbevolen beheerdermogelijkheden in Service Provider Foundation
Portals configureren voor Service Provider Foundation