Procedura dettagliata: Creazione di un certificato e di ruoli utente per Service Provider Foundation
Pubblicato: giugno 2016
Si applica a: System Center 2012 SP1 - Orchestrator, System Center 2012 R2 Orchestrator
Questa guida dettagliata descrive l'amministrazione di attività importanti per la gestione dei certificati e dei ruoli utente in Foundation di Provider di servizi. Per iniziare, viene illustrato come generare un certificato autofirmato, se non si sta già lavorando con un certificato firmato dell'emittente. Successivamente, verrà indicato come ottenere la chiave pubblica del certificato e come utilizzarla per creare il tenant in Foundation di Provider di servizi e i ruoli utente in System Center 2012 – Virtual Machine Manager (VMM).
Questa procedura dettagliata è organizzata nelle seguenti sezioni e procedure. Le procedure sono progettate per essere eseguite in sequenza, anche se contengono le informazioni necessarie per eseguirle singolarmente in base alle esigenze. Queste procedure sono attività che devono essere eseguite dall'amministratore dell'host.
Sezione |
Procedure |
---|---|
Creare un certificato |
Per creare un certificato autofirmato per un tenant |
Ottenere ed esportare le chiavi |
Per esportare la chiave pubblica |
Creare il tenant e i relativi ruoli utente |
Per creare un tenant con chiave pubblica del certificato |
Creare un certificato
La seguente procedura descrive come creare un certificato per un tenant utilizzando makecert.exe (Certificate Creation Tool).
Per creare un certificato autofirmato per un tenant
-
Aprire un prompt dei comandi come amministratore.
-
Generare il certificato eseguendo il comando riportato di seguito:
makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange
Questo comando consente di inserire il certificato nell'archivio certificati dell'utente corrente.
Per accedere al certificato creato
-
Nella schermata Start, digitare certmgr.msc e nei risultati delle Apps fare clic su certmgr.msc.
-
Nella finestra certmgr, fare clic su Certificati - Utente corrente, aprire la cartella Personale, quindi aprire la cartella Certificati per visualizzare il certificato appena generato.
Ottenere ed esportare le chiavi
Le procedure descritte in questa sezione illustrano come esportare le chiavi pubbliche e private dai file di certificato. Si associa una chiave pubblica a un tenant in Foundation di Provider di servizi per convalidare successivamente le attestazioni effettuate da un tenant oppure eseguite per suo conto. In questa sezione viene descritta una procedura che illustra come ottenere la chiave pubblica direttamente nella sessione di PowerShell.
Per esportare la chiave pubblica
-
Aprire la cartella certificati per visualizzare i certificati come descritto nella procedura Per accedere al certificato creato.
-
Fare clic con il pulsante destro del mouse sul certificato, selezionare Tutte le attività, quindi fare clic su Esporta.
-
Dopo la pagina iniziale, nella pagina Esporta chiave privata, scegliere Non esportare la chiave privata e fare clic su Avanti.
-
Nella pagina Formato file di esportazione, selezionare Codificato Base 64 X.509 (.CER), quindi fare clic su Avanti.
-
Nella pagina File da esportare, specificare un percorso e un nome del file del certificato, quindi fare clic su Avanti.
-
Nella pagina Completamento dell'Esportazione guidata certificati fare clic su Fine.
Per esportare la chiave privata
-
Aprire la cartella certificati per visualizzare i certificati come descritto nella procedura Per accedere al certificato creato.
-
Fare clic con il pulsante destro del mouse sul certificato, selezionare Tutte le attività, quindi fare clic su Esporta.
-
Dopo la pagina di Benvenuto, nella pagina Esporta chiave privata scegliere Esporta la chiave privata e fare clic su Avanti.
Se l'opzione Sì è disabitata, questo si verifica perché il comando makecert per creare il certificato non includeva l'opzione -pe.
-
Nella pagina Formato file di esportazione, selezionare l'opzione Scambio di informazioni personali - PKCS #12 (*.PFX), selezionare la casella di controllo Se possibile, includi tutti i certificati nel percorso certificazione e fare clic su Avanti.
-
Nella pagina Protezione, selezionare l’opzione Password:, fornire e confermare una password e quindi fare clic su Avanti.
-
Nella pagina File da esportare, specificare un percorso e un nome del file del certificato, quindi fare clic su Avanti.
-
Nella pagina Completamento dell'Esportazione guidata certificati fare clic su Fine.
Per ottenere la chiave pubblica in Windows PowerShell
-
È possibile ottenere la chiave pubblica direttamente da un file del certificato della chiave pubblica esportata (.CER) utilizzando le classi di crittografia di.NET Framework. Eseguire i comandi riportati di seguito per ottenere la chiave dal file della chiave pubblica del certificato esportato nella procedura Per esportare la chiave pubblica.
PS C:\> $path = "C:\Temp\tenant4D.cer" PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path) PS C:\> $key = [Convert]::ToBase64String($cert.RawData)
Nella procedura successiva viene utilizzata la variabile $key appena creata.
Creare il tenant e i relativi ruoli utente
Foundation di Provider di servizi non crea ruoli utente e non ne definisce l'ambito (ad esempio cloud), le risorse o le azioni. Il cmdlet New-SCSPFTenantUserRole, invece, crea un'associazione per un tenant con un nome di ruolo utente. Quando viene creata l'associazione, esso genera anche un ID che può essere utilizzato per l'ID corrispondente per la creazione del ruolo in System Center 2012 – Virtual Machine Manager (VMM).
È inoltre possibile creare ruoli utente utilizzando il servizio del protocollo Admin OData che utilizza Service Provider Foundation Developer's Guide (Manuale dello sviluppatore di Service Provider Foundation).
Per creare un tenant con chiave pubblica del certificato
-
Eseguire la Shell dei comandi System Center 2012 Service Provider Foundation come amministratore.
-
Immettere il seguente comando per la creazione del tenant. Questo comando dà per scontato che la variabile $key contenga la chiave pubblica ottenuta dalla procedura Per ottenere la chiave pubblica in Windows PowerShell.
PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" –Key $key
-
Verificare che la chiave pubblica per il tenant sia stata importata correttamente eseguendo il comando seguente e visualizzandone i risultati:
PS C:\> Get-SCSPFTrustedIssuer
Nella procedura successiva viene utilizzata la variabile $tenant appena creata.
Per creare un ruolo di amministratore tenant in VMM
-
Immettere il seguente comando e accettare l'elevazione dei privilegi per la shell dei comandi di Windows PowerShell:
PS C:\> Set-Executionpolicy remotesigned
-
Immettere il seguente comando per importare il modulo Virtual Machine Manager:
PS C:\> Import-Module virtualmachinemanager
-
Utilizzare il cmdlet di Windows PowerShell T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New-SCUserRole per creare il ruolo utente. Questo comando dà per scontato che la variabile $tenant sia stata creata come descritto nella procedura Per creare un tenant con chiave pubblica del certificato.
PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin
Attenzione Se il ruolo utente è stato creato in precedenza utilizzando la console di amministrazione di VMM, le autorizzazioni verranno sovrascritte con quelle specificate dal cmdlet New-SCSUserRole.
-
Verificare che il ruolo dell'utente sia stato creato verificando che sia elencato nei Ruoli utente nell'area di lavoro Impostazioni nella console di amministrazione di VMM.
-
Definire i seguenti elementi per il ruolo, selezionando il ruolo e facendo clic su Proprietà sulla barra degli strumenti:
- Nella scheda **Ambito**, selezionare una o più cloud. - Nella scheda **Risorse**, aggiungere tutte le risorse come modelli. - Nella scheda **Azioni**, selezionare una o più azioni.
Ripetere questa procedura per ogni server assegnato al tenant.
Nella procedura successiva viene utilizzata la variabile $TARole appena creata.
Per creare un ruolo di utente self-service tenant
-
Immettere il seguente comando per creare un utente self-service in Foundation di Provider di servizi per il tenant creato nella procedura Per creare un tenant con chiave pubblica del certificato.
PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant
-
Creare il ruolo di utente tenant corrispondente in VMM immettendo il seguente comando:
PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID
-
Verificare che il ruolo dell'utente sia stato creato verificando che sia elencato nei Ruoli utente nell'area di lavoro Impostazioni nella console di amministrazione di VMM. Si noti che l'elemento padre del ruolo è l'amministratore del tenant.
Ripetere questa procedura come richiesto per il tenant.