Passo a passo: Criar funções de usuário e um certificado para o Service Provider Foundation
Publicado: julho de 2016
Aplicável a: System Center 2012 SP1 - Orchestrator, System Center 2012 R2 Orchestrator
Este passo a passo mostra como administrar tarefas importantes para gerenciar tanto certificados quanto funções de usuário no Base do provedor de serviços. Para iniciar, mostramos como gerar um certificado autoassinado, caso você não esteja trabalhando com um certificado assinado por um emissor. A seguir, mostramos como obter a chave pública do certificado e como usar essa chave para criar o locatário no Base do provedor de serviços e as funções de usuário no System Center 2012 – Virtual Machine Manager (VMM).
Este passo a passo é organizado nas seções e procedimentos a seguir. Os procedimentos são projetados para serem realizados em sequência, embora eles contenham as informações necessárias para que você possa executá-los individualmente, se precisar. Esses procedimentos são tarefas a serem executadas pelo administrador de hoster.
Seção | Procedimentos |
---|---|
Criar um certificado | Para criar um certificado autoassinado para um locatário |
Obter e exportar chaves | Para exportar a chave pública Para exportar a chave privada Para obter a chave pública no Windows PowerShell |
Criar o locatário e suas funções de usuário | Para criar um locatário com a chave pública do certificado Para criar uma função de administrador de locatários no VMM Para criar uma função de usuário de autoatendimento para locatário |
Criar um certificado
O procedimento a seguir descreve como criar um certificado para um locatário usando makecert.exe (Certificate Creation Tool).
Para criar um certificado autoassinado para um locatário
Abra um prompt de comando como administrador.
Gere o certificado executando o seguinte comando:
makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange
Esse comando coloca o certificado no repositório de certificados do usuário atual.
Para acessar o certificado que você criou
Na tela Inicial, digite
certmgr.msc
e, nos resultados de Aplicativos, clique em certmgr.msc.Na janela certmgr, clique em Certificados - Usuário Atual, abra a pasta Pessoal e abra a pasta Certificados para ver o certificado que acabou de gerar.
Obter e exportar chaves
Os procedimentos nesta seção mostram como exportar chaves públicas e privadas de arquivos de certificado. Você associa uma chave pública a um locatário no Base do provedor de serviços para validar declarações feitas posteriormente, ou feitas em nome de um locatário. Esta seção inclui um procedimento que mostra como obter a chave pública diretamente na sua sessão do PowerShell.
Para exportar a chave pública
Abra sua pasta certificados para ver o certificado conforme descrito no procedimento Para acessar o certificado que você criou.
Clique com o botão direito no certificado, clique em Todas as Tarefas e clique em Exportar.
Após a página de boas-vindas, na página Exportar Chave Privada, escolha Não, não exportar a chave privada e clique em Avançar.
Na página Formato do Arquivo de Exportação, selecione X.509 codificado na base 64 (*.cer) e clique em Avançar.
Na página Arquivo a Ser Exportado, especifique um caminho e nome de arquivo para o certificado e clique em Avançar.
Na página Concluindo o Assistente para Exportação de Certificados, clique em Concluir.
Para exportar a chave privada
Abra sua pasta certificados para ver o certificado conforme descrito no procedimento Para acessar o certificado que você criou.
Clique com o botão direito no certificado, clique em Todas as Tarefas e clique em Exportar.
Após a página Boas-vindas, na página Exportar Chave Privada, escolha Sim, exportar a chave privada e clique em Avançar.
Se a opção Sim estiver indisponível, isso acontece porque o comando
makecert
para criar o certificado não incluiu a opção-pe
.Na página Formato do Arquivo de Exportação, selecione a opção Troca de Informações Pessoais - PKCS nº 12 (.PFX), marque a caixa de seleção Incluir todos os certificados no caminho de certificação, se possível e clique em Avançar.
Na página Segurança, selecione a opção Senha:, digite a senha e confirme-a e clique em Avançar.
Na página Arquivo a Ser Exportado, especifique um caminho e nome de arquivo para o certificado e clique em Avançar.
Na página Concluindo o Assistente para Exportação de Certificados, clique em Concluir.
Para obter a chave pública no Windows PowerShell
Você pode obter a chave pública diretamente de um arquivo de certificado de chave pública (.CER) exportado usando as classes de criptografia do .NET Framework. Execute os comandos a seguir para obter a chave do arquivo de chave pública do certificado que você exportou no procedimento Para exportar a chave pública.
PS C:\> $path = "C:\Temp\tenant4D.cer" PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path) PS C:\> $key = [Convert]::ToBase64String($cert.RawData)
O procedimento a seguir usa a variável
$key
que você acabou de criar.
Criar o locatário e suas funções de usuário
O Base do provedor de serviços não cria funções de usuário nem define seus escopos (como as nuvens), recursos ou ações. Em vez disso, o cmdlet New-SCSPFTenantUserRole cria uma associação para um locatário com um nome de função do usuário. Quando essa associação é criada, ela também gera uma ID que pode ser usada pela ID correspondente para criar a função no System Center 2012 – Virtual Machine Manager.
Você também pode criar funções de usuário usando o serviço do protocolo OData do Admin que usa o Service Provider Foundation Developer's Guide (Guia do Desenvolvedor do Service Provider Foundation).
Para criar um locatário com a chave pública do certificado
Execute o Shell de Comando do System Center 2012 Service Provider Foundation como administrador.
Digite o seguinte comando para criar o locatário. Este comando assume que a variável
$key
contenha a chave pública, conforme obtida pelo procedimento Para obter a chave pública no Windows PowerShell.PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" –Key $key
Verifique se a chave pública do locatário foi importada com êxito executando o comando a seguir e observando os resultados:
PS C:\> Get-SCSPFTrustedIssuer
O procedimento a seguir usa a variável
$tenant
que você acabou de criar.
Para criar uma função de administrador de locatários no VMM
Digite o seguinte comando e concorde com sua elevação para o Shell de Comando do Windows PowerShell:
PS C:\> Set-Executionpolicy remotesigned
Digite o seguinte comando para importar o módulo Virtual Machine Manager:
PS C:\> Import-Module virtualmachinemanager
Use o cmdlet do Windows PowerShell T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New-SCUserRole para criar a função do usuário. Esse comando assume que a variável
$tenant
tenha sido criada, conforme descrito no procedimento Para criar um locatário com a chave pública do certificado.PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin
Cuidado Observe que, se a função do usuário tiver sido criada anteriormente com o Console de Administração do VMM, suas permissões serão substituídas pelas especificadas pelo cmdlet New-SCSUserRole.
Confirme se a função de usuário foi criada verificando se ela está listada em Funções de Usuário no espaço de trabalho Configurações no Console de Administração do VMM.
Defina o seguinte para a função selecionando a função e clicando em Propriedades na barra de tarefas:
Na guia Escopo, selecione uma ou mais nuvens.
Na guia Recursos, adicione todos os recursos, como por exemplo modelos.
Na guia Ações, selecione uma ou mais ações.
Repita este procedimento para cada servidor atribuído ao locatário.
O procedimento a seguir usa a variável
$TARole
que você acabou de criar.
Para criar uma função de usuário de autoatendimento para locatário
Insira o comando a seguir para criar um usuário de autoatendimento no Base do provedor de serviços para o locatário que você criou no procedimento Para criar um locatário com a chave pública do certificado.
PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant
Crie a função de usuário do locatário correspondente no VMM inserindo o seguinte comando:
PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID
Confirme se a função de usuário foi criada verificando se ela está listada em Funções de Usuário no espaço de trabalho Configurações no Console de Administração do VMM. Observe que o pai da função é o administrador de locatários.
Repita esse procedimento conforme necessário para o locatário.
Consulte também
Gerenciar certificados e funções de usuário no Service Provider Foundation
Administrando o Service Provider Foundation
Capacidades de administrador recomendadas no Service Provider Foundation
Configurando portais para o Service Provider Foundation