다음을 통해 공유

  • 아티클

연습: Service Provider Foundation용 인증서 및 사용자 역할 만들기

 

게시 날짜: 2016년 7월

적용 대상: System Center 2012 SP1 - Orchestrator, System Center 2012 R2 Orchestrator

이 연습에서는 Service Provider Foundation에서 인증서 및 사용자 역할을 관리하는 데 중요한 작업을 관리하는 방법을 보여 줍니다. 먼저, 발급자의 서명된 인증서에 대해 아직 작업하지 않은 경우 자체 서명된 인증서를 생성하는 방법을 알아보겠습니다. 그런 다음 인증서의 공개 키를 가져오는 방법과 해당 키를 사용하여 Service Provider Foundation에서 테넌트를 만들고 System Center 2012 – Virtual Machine Manager(VMM)에서 사용자 역할을 만드는 방법에 대해 알아보겠습니다.

이 연습은 다음과 같은 섹션과 절차로 구성됩니다. 이러한 절차들은 필요에 따라 개별적으로 실행하는 데 필요한 정보를 포함하더라도 순차적으로 수행되도록 설계되었습니다. 이러한 절차들이 호스터 관리자가 수행할 수 있는 작업입니다.

섹션 절차
인증서 만들기 자체 서명된 테넌트용 인증서를 만들려면
키 가져오기 및 내보내기 공개 키를 내보내려면 
 개인 키를 내보내려면 
 Windows PowerShell에서 공개 키를 가져오려면
테넌트 및 사용자 역할 만들기 인증서 공개 키로 테넌트를 만들려면 
 VMM에서 테넌트 관리자 역할을 만들려면 
 테넌트 셀프 서비스 사용자 역할을 만들려면

인증서 만들기

다음 절차에서는 makecert.exe (Certificate Creation Tool)를 사용하여 테넌트용 인증서를 만드는 방법에 대해 설명합니다.

자체 서명된 테넌트용 인증서를 만들려면

  1. 관리자 권한으로 명령 프롬프트를 엽니다.

  2. 다음 명령을 실행하여 인증서를 생성합니다.

    makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange

    이 명령은 현재 사용자 인증서 저장소에 인증서를 넣습니다.

사용자가 생성한 인증서에 액세스하려면

  1. 시작 화면에서 certmgr.msc를 입력한 후 결과에서 certmgr.msc를 클릭합니다.

  2. certmgr 창에서 인증서 - 현재 사용자를 클릭하고, 개인 폴더를 연 후 인증서 폴더를 열어서 위에서 만든 인증서를 확인합니다.

키 가져오기 및 내보내기

이 섹션의 절차에서는 인증서 파일에서 공개 키와 개인 키를 내보내는 방법을 보여 줍니다.Service Provider Foundation의 테넌트와 공개 키를 연결하여 생성된 클레임 또는 테넌트를 대신하여 생성된 클레임의 유효성을 나중에 검사합니다. 이 섹션에서는 PowerShell 세션에서 직접 공개 키를 가져오는 방법을 보여 주는 절차를 설명합니다.

공개 키를 내보내려면

  1. 인증서 폴더를 열어서 사용자가 생성한 인증서에 액세스하려면 절차에 설명된 인증서를 확인합니다.

  2. 인증서를 마우스 오른쪽 단추로 클릭하고, 모든 작업을 클릭한 후 내보내기를 클릭합니다.

  3. 시작 페이지 후 개인 키 내보내기 페이지에서 **아니요, 개인 키를 내보내지 않습니다.**를 선택한 후 다음을 클릭합니다.

  4. 내보내기 파일 형식 페이지에서 **Base 64로 인코딩된 X.509(.CER)**를 선택한 후 다음을 클릭합니다.

  5. 내보낼 파일 페이지에서 인증서의 경로 및 파일 이름을 지정한 후 다음을 클릭합니다.

  6. 인증서 내보내기 마법사 완료 페이지에서 마침을 클릭합니다.

개인 키를 내보내려면

  1. 인증서 폴더를 열어서 사용자가 생성한 인증서에 액세스하려면 절차에 설명된 인증서를 확인합니다.

  2. 인증서를 마우스 오른쪽 단추로 클릭하고, 모든 작업을 클릭한 후 내보내기를 클릭합니다.

  3. 시작 페이지가 표시된 후 개인 키 내보내기 페이지에서 **예, 개인 키를 내보냅니다.**를 선택한 후 다음을 클릭합니다.

    "예" 옵션이 비활성화되어 있는 경우 인증서를 만드는 makecert 명령이 -pe 옵션을 포함하지 않기 때문입니다.

  4. 내보내기 파일 형식 페이지에서 개인 정보 교환 - PKCS #12(.PFX) 옵션을 선택하고, 가능한 경우 인증 경로에 있는 인증서 모두 포함 확인란을 선택한 후 다음을 클릭합니다.

  5. 보안 페이지에서 암호: 옵션을 선택하고, 암호를 입력 및 확인한 후 다음을 클릭합니다.

  6. 내보낼 파일 페이지에서 인증서의 경로 및 파일 이름을 지정한 후 다음을 클릭합니다.

  7. 인증서 내보내기 마법사 완료 페이지에서 마침을 클릭합니다.

Windows PowerShell에서 공개 키를 가져오려면

  1. .NET Framework 암호화 클래스를 사용하여 내보낸 공개 키 인증서 파일(.CER)에서 직접 공개 키를 가져올 수 있습니다. 다음 명령을 실행하여 공개 키를 내보내려면 절차에서 내보낸 인증서의 공개 키 파일에서 키를 가져옵니다.

    PS C:\> $path = "C:\Temp\tenant4D.cer"  
PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path)  
PS C:\> $key = [Convert]::ToBase64String($cert.RawData)

    다음 절차에서는 앞서 사용자가 만든 $key 변수를 사용합니다.

테넌트 및 사용자 역할 만들기

Service Provider Foundation에서는 사용자 역할을 만들지 않고, 범위(예: 클라우드), 리소스 또는 작업을 정의하지 않습니다. 대신 New-SCSPFTenantUserRole cmdlet은 사용자 역할 이름으로 테넌트에 대한 연결을 만듭니다. 연결을 만들면 System Center 2012 – Virtual Machine Manager에서 역할을 만드는 데 필요한 ID에 사용할 수 있는 ID도 생성합니다.

또한 Service Provider Foundation Developer's Guide(Service Provider Foundation 개발자 가이드)를 사용하는 관리 OData 프로토콜 서비스를 통해서도 사용자 역할을 만들 수 있습니다.

인증서 공개 키로 테넌트를 만들려면

  1. System Center 2012 Service Provider Foundation 명령 셸을 관리자로 실행합니다.

  2. 다음 명령을 입력하여 테넌트를 만듭니다. 이 명령은 $key 변수에 Windows PowerShell에서 공개 키를 가져오려면 절차에서 가져온 공개 키가 포함되어 있다고 가정합니다.

    PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" –Key $key

  3. 다음 명령을 실행하고 결과를 확인하여 테넌트의 공개 키를 가져왔는지 확인합니다.

    PS C:\> Get-SCSPFTrustedIssuer

    다음 절차에서는 앞서 사용자가 만든 $tenant 변수를 사용합니다.

VMM에서 테넌트 관리자 역할을 만들려면

  1. 다음 명령을 입력하여 Windows PowerShell 명령 셸에 대한 권한 상승에 동의합니다.

    PS C:\> Set-Executionpolicy remotesigned

  2. 다음 명령을 입력하여 Virtual Machine Manager 모듈을 가져옵니다.

    PS C:\> Import-Module virtualmachinemanager

  3. Windows PowerShell T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New-SCUserRole cmdlet을 사용하여 사용자 역할을 만듭니다. 이 명령에서는 $tenant 변수가 인증서 공개 키로 테넌트를 만들려면 절차에 설명된 대로 생성되었다고 가정합니다.

    PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin
    System_CAPS_ICON_caution.jpg 주의

    VMM 관리 콘솔을 사용하여 이전에 사용자 역할을 만든 경우 New-SCSUserRole cmdlet에서 지정한 권한으로 해당 사용자의 권한을 덮어씁니다.

  4. VMM 관리자 콘솔의 설정 작업 영역에서 사용자 역할에 사용자 역할이 나열되어 있는지 확인하여 생성되었는지 확인합니다.

  5. 역할을 선택하고 도구 모음에서 속성을 클릭하여 역할에 대해 다음을 정의합니다.

    • 범위 탭에서 클라우드를 하나 이상 선택합니다.

    • 리소스 탭에서 템플릿과 같은 리소스를 추가합니다.

    • 작업 탭에서 작업을 하나 이상 선택합니다.

    테넌트에 할당된 모든 서버에 대해 이 절차를 반복합니다.

    다음 절차에서는 앞서 사용자가 만든 $TARole 변수를 사용합니다.

테넌트 셀프 서비스 사용자 역할을 만들려면

  1. 다음 명령을 입력하여 Service Provider Foundation 절차에서 만든 테넌트에 대해 인증서 공개 키로 테넌트를 만들려면에서 셀프 서비스 사용자를 만듭니다.

    PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant

  2. 다음 명령을 입력하여 VMM에서 해당 테넌트 사용자 역할을 만듭니다.

    PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID

  3. VMM 관리자 콘솔의 설정 작업 영역에서 사용자 역할에 사용자 역할이 나열되어 있는지 확인하여 생성되었는지 확인합니다. 역할의 부모는 테넌트 관리자라는 점에 유의하십시오.

필요에 따라 테넌트에 대해 이 절차를 반복합니다.

참고 항목

Service Provider Foundation에서 인증서 및 사용자 역할 관리
Service Provider Foundation 관리
Service Provider Foundation의 권장 관리자 기능
Service Provider Foundation용 포털 구성