Share via

  • [アーティクル]

チュートリアル: Service Provider Foundation の証明書とユーザー ロールの作成

 

公開日: 2016年7月

対象: System Center 2012 SP1 - Orchestrator、System Center 2012 R2 Orchestrator

このチュートリアルでは、Service Provider Foundation の証明書とユーザー ロールを管理する重要な作業に対応する方法について説明します。 最初に、発行者が署名した証明書をまだ使用していない場合は、自己署名証明書を生成する方法を説明します。 次に、証明書の暗号キーの取得方法と、そのキーを使用して Service Provider Foundation のテナントと System Center 2012 - Virtual Machine Manager (VMM) のユーザー ロールを作成する方法を説明します。

このチュートリアルは、次のセクションと手順で構成されています。 この手順は、連続して実行されるように考えられていますが、必要な場合は、個別に実行する必要がある情報も含まれています。 これらの手順は、ホスト管理者が実行する作業です。

セクション 手順
証明書の作成 テナントの自己署名証明書を作成するには
キーの取得とエクスポート 公開キーをエクスポートするには 
 秘密キーをエクスポートするには 
 Windows PowerShell で公開キーを取得するには
テナントとそのユーザー ロールの作成 テナントを証明書の公開キーとともに作成するには 
 VMM にテナント管理者ロールを作成するには 
 テナント セルフサービス ユーザー ロールを作成するには

証明書の作成

次の手順では、makecert.exe (Certificate Creation Tool) を使用してテナントの証明書を作成する方法について説明します。

テナントの自己署名証明書を作成するには

  1. コマンド プロンプトを管理者として開きます。

  2. 次のコマンドを実行して、証明書を生成します。

    makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange

    このコマンドは、証明書を現在のユーザー証明書ストアに作成します。

作成した証明書にアクセスするには

  1. [スタート] 画面で「certmgr.msc」と入力して、[プログラム] 下に検索結果が表示されたら、[certmgr.msc] をクリックします。

  2. [certmgr] ウィンドウで [証明書 - 現在のユーザー] をクリック、[個人用] フォルダー、[証明書] フォルダーの順に開いて、生成した証明書を確認します。

キーの取得とエクスポート

このセクションの手順では、証明書ファイルから公開キーと秘密キーをエクスポートする方法について説明します。 公開キーを Service Provider Foundation のテナントと関連付けて、後で、テナントまたはテナントの代理が作成した要求を認証します。 このセクションには、PowerShell セッションで公開キーを直接取得する方法を説明した手順が含まれます。

公開キーをエクスポートするには

  1. 証明書フォルダーを開いて、「作成した証明書にアクセスするには」手順で説明されているように、証明書を確認します。

  2. 証明書を右クリックして、[すべてのタスク] 、[エクスポート] の順にクリックします。

  3. 開始ページの次の [秘密キーのエクスポート] ページで、[いいえ、秘密キーをエクスポートしません] を選択してから、[次へ] をクリックします。

  4. [エクスポート ファイルの形式] ページで [Base-64 encoded X.509 (.CER)] を選択してから、[次へ] をクリックします。

  5. [エクスポートするファイル] ページで、証明書のパスとファイル名を指定してから、[次へ] をクリックします。

  6. [証明書のエクスポート ウィザードの完了] ページで、[完了] をクリックします。

秘密キーをエクスポートするには

  1. 証明書フォルダーを開いて、「作成した証明書にアクセスするには」手順で説明されているように、証明書を確認します。

  2. 証明書を右クリックして、[すべてのタスク] 、[エクスポート] の順にクリックします。

  3. [ようこそ] ページの次の [秘密キーのエクスポート] ページで [はい、秘密キーをエクスポートします] を選択してから、[次へ] をクリックします。

    エクスポートするオプションが無効な場合、それは、makecert コマンドが -pe オプションを含まない証明書を作成したからです。

  4. [エクスポート ファイルの形式] ページで [Personal Information Exchange – PKCS #12 (.PFX)] オプションを選択して、[証明のパスにある証明書を可能であればすべて含む] チェック ボックスをオンにし、[次へ] をクリックします。

  5. [セキュリティ] ページで [パスワード:] オプションを選択し、パスワードの入力と確認を行ってから、[次へ] をクリックします。

  6. [エクスポートするファイル] ページで、証明書のパスとファイル名を指定してから、[次へ] をクリックします。

  7. [証明書のエクスポート ウィザードの完了] ページで、[完了] をクリックします。

Windows PowerShell で公開キーを取得するには

  1. .NET Framework cryptography クラスを使用して、エクスポートされた公開キー証明書ファイル (.CER) から公開キーを直接取得できます。 次のコマンドを実行して、「公開キーをエクスポートするには」手順でエクスポートした証明書の公開キーを取得します。

    PS C:\> $path = "C:\Temp\tenant4D.cer"  
PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  
PS C:\> $key = [Convert]::ToBase64String($cert.RawData)

    次の手順で、作成した $key 変数を使用します。

テナントとそのユーザー ロールの作成

Service Provider Foundation は、ユーザー ロールの作成や、スコープ (クラウドなど) やリソース、操作の定義はしません。 代わりに、New-SCSPFTenantUserRole コマンドレットで、テナントとユーザー ロール名の関連付けを作成します。 この関連付けが作成されると、System Center 2012 – Virtual Machine Manager (VMM) のロールを作成に対応する ID に使用できる ID も生成されます。

Service Provider Foundation Developer's Guide (Service Provider Foundation 開発者ガイド)」を使用する Admin OData プロトコル サービスを使用して、ユーザー ロールを作成することもできます。

テナントを証明書の公開キーとともに作成するには

  1. System Center 2012 Service Provider Foundation Command Shell を管理者として実行します。

  2. 次のコマンドを入力して、テナントを作成します。 このコマンドは、$key 変数に「Windows PowerShell で公開キーを取得するには」手順で取得された公開キーが含まれていると想定しています。

    PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" –Key $key

  3. 次のコマンドを実行して表示される結果を見て、テナントの公開キーを正常にインポートされたことを確認します。

    PS C:\> Get-SCSPFTrustedIssuer

    次の手順で、作成した $tenant 変数を使用します。

VMM にテナント管理者ロールを作成するには

  1. 次のコマンドを入力して、Windows PowerShell コマンド シェルの昇格に同意します。

    PS C:\> Set-Executionpolicy remotesigned

  2. 次のコマンドを入力して、Virtual Machine Manager モジュールをインポートします。

    PS C:\> Import-Module virtualmachinemanager

  3. Windows PowerShell T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New-SCUserRole コマンドレットを使用して、ユーザー ロールを作成します。 このコマンドは、$tenant 変数が「テナントを証明書の公開キーとともに作成するには」で説明されているように作成されていることを想定しています。

    PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin
    System_CAPS_ICON_caution.jpg 注意

    ユーザー ロールが以前 VMM 管理コンソールを使用して作成された場合、アクセス許可が New-SCSUserRole コマンドレットで指定されたものによって上書きされます。

  4. VMM 管理コンソールで、[設定] ワークスペースの [ユーザー ロール] に一覧されていることを確認して、ユーザー ロールが作成されたことを確認します。

  5. ロールを選択して、ツール バーの [プロパティ] をクリックして、そのロールに次を定義します。

    • [スコープ] タブで、1 つまたは複数のクラウドを選択します。

    • [リソース] タブで、テンプレートなどの任意のリソースを追加します。

    • [操作] タブで、1 つまたは複数の操作を選択します。

    この手順を、テナントに割り当てられているすべてのサーバーに対して繰り返します。

    次の手順で、作成した $TARole 変数を使用します。

テナント セルフサービス ユーザー ロールを作成するには

  1. 次のコマンドを入力して、「Service Provider Foundation」手順で作成したテナントの テナントを証明書の公開キーとともに作成するには のセルフサービス ユーザーを作成します。

    PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant

  2. 次のコマンドを入力して、VMM の対応するテナント ユーザーを作成します。

    PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID

  3. VMM 管理コンソールで、[設定] ワークスペースの [ユーザー ロール] に一覧されていることを確認して、ユーザー ロールが作成されたことを確認します。 ロールの親はテナント管理者であることに注意してください。

この手順を、テナントの必要に応じて繰り返します。

参照

Service Provider Foundation での証明書とユーザー ロールの管理
Service Provider Foundation の管理
Service Provider Foundation で推奨される管理者能力
Service Provider Foundation のポータルの構成