Procédure pas à pas : Création d'un certificat et de rôles d'utilisateur pour Service Provider Foundation
Date de publication : juillet 2016
S’applique à : System Center 2012 SP1 - Orchestrator, System Center 2012 R2 Orchestrator
Cette procédure pas à pas montre comment administrer des tâches importantes pour la gestion des certificats et des rôles d'utilisateur dans Service Provider Foundation. Pour commencer, nous allons montrer comment générer un certificat auto-signé, si vous n'utilisez pas déjà un certificat signé d'un émetteur. Nous allons ensuite montrer comment obtenir la clé publique du certificat et comment l'utiliser pour créer le client dans Service Provider Foundation et les rôles d'utilisateur dans System Center 2012 – Virtual Machine Manager (VMM).
Cette procédure pas à pas est organisée selon les sections et les procédures suivantes. Les procédures sont conçues pour être exécutées séquentiellement, bien qu'elles contiennent les informations dont vous avez besoin pour les exécuter une par une, le cas échéant. Ces procédures sont les tâches que l'administrateur de l'hébergeur doit effectuer.
Section | Procédures |
---|---|
Créer un certificat | Pour créer un certificat auto-signé pour un client |
Obtenir et exporter des clés | Pour exporter la clé publique Pour exporter la clé privée Pour obtenir la clé publique dans Windows PowerShell |
Créez le client et ses rôles d'utilisateur | Pour créer un client avec la clé publique du certificat Pour créer un rôle d'administrateur de client dans VMM Pour créer un rôle d'utilisateur en libre-service du client |
Créer un certificat
La procédure suivante décrit comment créer un certificat pour un client à l'aide de makecert.exe (Certificate Creation Tool).
Pour créer un certificat auto-signé pour un client
Ouvrez une invite de commande en tant qu'administrateur.
Générez le certificat en exécutant la commande suivante :
makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange
Cette commande place le certificat dans le magasin de certificats de l'utilisateur en cours.
Pour accéder au certificat que vous avez créé
Dans l'écran Démarrer, tapez
certmgr.msc
, puis dans les résultats Apps cliquez sur certmgr.msc.Dans la fenêtre certmgr, cliquez sur Certificats - Utilisateur actuel, ouvrez le dossier Personnel, puis le dossier Certificats pour afficher le certificat que vous venez de générer.
Obtenir et exporter des clés
Les procédures décrites dans cette section montrent comment exporter des clés publiques et privées à partir de fichiers de certificats. Vous associez une clé publique à un client dans Service Provider Foundation pour valider ultérieurement les réclamations faites par un client ou en son nom. Cette section inclut une procédure qui montre comment obtenir la clé publique directement dans votre session PowerShell.
Pour exporter la clé publique
Ouvrez votre dossier certificats pour afficher le certificat comme décrit dans la procédure Pour accéder au certificat que vous avez créé.
Cliquez avec le bouton droit sur le certificat, cliquez sur Toutes les tâches, puis sur Exporter.
Après la page d'accueil, sur la page Exportation de la clé privée, sélectionnez Non, ne pas exporter la clé privée, puis cliquez sur Suivant.
Dans la page Format de fichier d'exportation, sélectionnez Codé à base 64 X.509 (.cer), puis cliquez sur Suivant.
Dans la page Fichier à exporter, spécifiez un chemin et un nom de fichier pour le certificat, puis cliquez sur Suivant.
Dans la page Fin de l'Assistant Exportation de certificat, cliquez sur Terminer.
Pour exporter la clé privée
Ouvrez votre dossier certificats pour afficher le certificat comme décrit dans la procédure Pour accéder au certificat que vous avez créé.
Cliquez avec le bouton droit sur le certificat, cliquez sur Toutes les tâches, puis sur Exporter.
Après la page d'accueil, sur la page Exportation de la clé privée, sélectionnez Oui, exporter la clé privée, puis cliquez sur Suivant.
Si l'option Oui est désactivée, c'est parce que la commande
makecert
de création du certificat n'incluait pas l'option-pe
.Dans la page Format de fichier d'exportation, sélectionnez l'option Échange d'informations personnelles - PKCS #12 (.pfx), activez la case à cocher Inclure tous les certificats dans le chemin d'accès de certification si possible, puis cliquez sur Suivant.
Dans la page Sécurité, sélectionnez l'option Mot de passe, fournissez et confirmez un mot de passe, puis cliquez sur Suivant.
Dans la page Fichier à exporter, spécifiez un chemin et un nom de fichier pour le certificat, puis cliquez sur Suivant.
Dans la page Fin de l'Assistant Exportation de certificat, cliquez sur Terminer.
Pour obtenir la clé publique dans Windows PowerShell
Vous pouvez obtenir la clé publique directement à partir d'un fichier de certificat de clé publique (.CER) exporté en utilisant les classes de chiffrement .NET Framework. Exécutez les commandes suivantes pour obtenir la clé du fichier de clé public du certificat que vous avez exportée grâce à la procédure Pour exporter la clé publique.
PS C:\> $path = "C:\Temp\tenant4D.cer" PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path) PS C:\> $key = [Convert]::ToBase64String($cert.RawData)
La procédure suivante utilise la variable
$key
que vous venez de créer.
Créez le client et ses rôles d'utilisateur
Service Provider Foundation ne crée pas de rôles d'utilisateur et ne définit pas leur portée (par exemple les clouds), leurs ressources ou leurs actions. En revanche, l'applet de commande New-SCSPFTenantUserRole crée une association pour un client avec un nom de rôle d'utilisateur. Lors de la création de cette association elle génère aussi un ID pouvant être utilisé comme ID pour la création du rôle dans System Center 2012 – Virtual Machine Manager.
Vous pouvez également créer des rôles d'utilisateur grâce au service de protocole OData Admin qui fait appel au Service Provider Foundation Developer's Guide (Guide du développeur Service Provider Foundation).
Pour créer un client avec la clé publique du certificat
Exécutez le shell de commande de System Center 2012 Service Provider Foundation en tant qu'administrateur.
Entrez la commande suivante pour créer le client. Cette commande suppose que la variable
$key
contient la clé publique obtenue grâce à la procédure Pour obtenir la clé publique dans Windows PowerShell.PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" –Key $key
Vérifiez que la clé publique du client a été importée avec succès en exécutant la commande suivante et en affichant les résultats :
PS C:\> Get-SCSPFTrustedIssuer
La procédure suivante utilise la variable
$tenant
que vous venez de créer.
Pour créer un rôle d'administrateur de client dans VMM
Entrez la commande suivante et acceptez cette élévation pour le shell de commande Windows PowerShell :
PS C:\> Set-Executionpolicy remotesigned
Entrez la commande suivante pour importer le module Virtual Machine Manager :
PS C:\> Import-Module virtualmachinemanager
Utilisez l'applet de commande Windows PowerShell T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New-SCUserRole pour créer le rôle utilisateur. Cette commande suppose que la variable
$tenant
a été créée comme décrit dans la procédure Pour créer un client avec la clé publique du certificat.PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin
Attention Remarque : si le rôle d'utilisateur a été créé auparavant à l'aide de la console d'administration VMM, ses autorisations seront remplacées par celles qui sont spécifiées par l'applet de commande New-SCSUserRole.
Vérifiez que le rôle d'utilisateur a été créé en vous assurant qu'il est répertorié dans l'espace de travail Rôles d'utilisateur dans Paramètres dans la console Administration de VMM.
Définissez les informations suivantes pour le rôle en sélectionnant le rôle et en cliquant sur Propriétés dans la barre d'outils :
Dans l'onglet Étendue, sélectionnez un ou plusieurs clouds.
Dans l'onglet Ressources, ajoutez des ressources telles que des modèles.
Dans l'onglet Actions, sélectionnez une ou plusieurs actions.
Répétez cette procédure pour chaque serveur affecté au client.
La procédure suivante utilise la variable
$TARole
que vous venez de créer.
Pour créer un rôle d'utilisateur en libre-service du client
Saisissez la commande suivante pour créer un utilisateur en libre-service dans Service Provider Foundation pour le client que vous avez créé grâce à la procédure Pour créer un client avec la clé publique du certificat.
PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant
Créez le rôle d'utilisateur de client correspondant dans VMM en saisissant la commande suivante :
PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID
Vérifiez que le rôle d'utilisateur a été créé en vous assurant qu'il est répertorié dans l'espace de travail Rôles d'utilisateur dans Paramètres dans la console Administration de VMM. Remarquez que le parent du rôle est l'administrateur du client.
Répétez cette procédure le cas échéant pour le client.
Voir aussi
Gérer les certificats et les rôles d'utilisateur dans Service Provider Foundation
Administration de Service Provider Foundation
Fonctions d'administrateur recommandées dans Service Provider Foundation
Configuration des portails pour Service Provider Foundation