逐步解說:建立 Service Provider Foundation 的憑證和使用者角色
發行︰ 2016年7月
適用於: System Center 2012 SP1 - Orchestrator、System Center 2012 R2 Orchestrator
本逐步解說顯示如何管理重要的工作,以便在 Service Provider Foundation 中同時管理憑證和使用者角色。 一開始,我們將說明如何產生自助憑證 (如果您尚未使用發行者的簽署憑證)。 接著,我們會示範如何取得憑證的公開金鑰,以及如何使用該金鑰在 Service Provider Foundation 中建立租用戶,並在 System Center 2012 – Virtual Machine Manager (VMM) 中立使用者角色。
本逐步解說分成下列各節與程序。 這些程序設計成以循序方式執行,不過它們也包含您在視需要個別執行這些程序時所需的資訊。 這些程序是主機服務提供者系統管理員所要執行的工作。
| 區段 | 程序 |
|---|---|
| 建立憑證 | 建立租用戶的自我簽署憑證 |
| 取得並匯出金鑰 | 匯出公開金鑰 匯出私密金鑰 在 Windows PowerShell 中取得私密金鑰 |
| 建立租用戶及其使用者角色 | 使用憑證的公開金鑰建立租用戶 在 VMM 中建立租用戶系統管理員角色 建立租用戶自助使用者角色 |
建立憑證
下列程序說明如何使用 makecert.exe (Certificate Creation Tool) 建立租用戶的憑證。
建立租用戶的自我簽署憑證
以系統管理員身分開啟命令提示字元。
執行下列命令以產生憑證:
makecert -r -pe -n "cn=contoso.com" -b 07/12/2012 -e 09/23/2014 -ss My -sr CurrentUser -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -sky exchange這個命令會將憑證放在目前使用者憑證存放區中。
存取您建立的憑證
在 [開始] 畫面上輸入
certmgr.msc,然後在 [應用程式] 結果中按一下 certmgr.msc。在 [certmgr] 視窗中,按一下 [憑證 - 目前的使用者],開啟 [個人] 資料夾,然後開啟 [憑證] 資料夾,檢視您剛產生的憑證。
取得並匯出金鑰
本節中的程序顯示如何從憑證檔案匯出公開及私密金鑰。 您可讓公開金鑰與 Service Provider Foundation 中的租用戶產生關聯,以便於稍後驗證租用戶提出或代表租用戶提出的宣告。 本節包含顯示如何直接在 PowerShell 工作階段取得公開金鑰的程序。
匯出公開金鑰
開啟您的憑證資料夾來檢視 存取您建立的憑證 程序中所述的憑證。
以滑鼠右鍵按一下憑證,再按一下 [所有工作],然後按一下 [匯出]。
在 [歡迎] 畫面之後的 [匯出私密金鑰] 頁面上,選擇 [否,不要匯出私密金鑰],然後按 [下一步]。
在 [匯出檔案格式] 頁面上,選取 [Base-64 編碼 X.509 (.CER)],然後按 [下一步]。
在 [要匯出的檔案] 頁面上,指定憑證的路徑和檔案名稱,然後按 [下一步]。
在 [完成憑證匯出精靈] 頁面上,按一下 [完成]。
匯出私密金鑰
開啟您的憑證資料夾來檢視 存取您建立的憑證 程序中所述的憑證。
以滑鼠右鍵按一下憑證,再按一下 [所有工作],然後按一下 [匯出]。
在 [歡迎] 畫面之後的 [匯出私密金鑰] 頁面上,選擇 [是,匯出私密金鑰],然後按 [下一步]。
如果 [是] 選項已停用,這是因為用來建立憑證的
makecert命令並未包含-pe選項。在 [匯出檔案格式] 頁面上,選取 [個人資訊交換 – PKCS #12 (.PFX)] 選項,並勾選 [如果可能的話,包含憑證路徑中的所有憑證] 核取方塊,然後按 [下一步]。
在 [安全性] 頁面上,選取 [密碼] 選項,提供並確認密碼,然後按 [下一步]。
在 [要匯出的檔案] 頁面上,指定憑證的路徑和檔案名稱,然後按 [下一步]。
在 [完成憑證匯出精靈] 頁面上,按一下 [完成]。
在 Windows PowerShell 中取得私密金鑰
您可以使用 .NET Framework 密碼編譯類別,直接從匯出的公開金鑰憑證檔案 (.CER) 取得公開金鑰。 請執行下列命令,從您在匯出公開金鑰程序中匯出的憑證公開金鑰檔案中取得金鑰。
PS C:\> $path = "C:\Temp\tenant4D.cer" PS C:\> $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($path) PS C:\> $key = [Convert]::ToBase64String($cert.RawData)下一個程序會使用您剛建立的
$key變數。
建立租用戶及其使用者角色
Service Provider Foundation 不會建立使用者角色或定義其範圍 (例如雲端)、資源或動作。 相反地,New-SCSPFTenantUserRole Cmdlet 會建立租用戶與使用者角色名稱的關聯。 在建立該關聯時,它也會產生識別碼,可用來當作在 System Center 2012 – Virtual Machine Manager 中建立角色的對應識別碼。
您也可以利用使用 Service Provider Foundation Developer's Guide (Service Provider Foundation 開發人員指南) 的系統管理 OData 通訊協定服務來建立使用者角色。
使用憑證的公開金鑰建立租用戶
以系統管理員身分執行 System Center 2012 Service Provider Foundation 命令殼層。
輸入下列命令以建立租用戶。 此命令假設
$key變數包含在在 Windows PowerShell 中取得私密金鑰程序中取得的公開金鑰。PS C:\> $tenant = New-SCSPFTenant -Name "contoso.cloudspace.com" -IssuerName "contoso.cloudspace.com" –Key $key執行下列命令並檢視結果,以確認租用戶的公開金鑰是否已匯入成功:
PS C:\> Get-SCSPFTrustedIssuer下一個程序會使用您剛建立的
$tenant變數。
在 VMM 中建立租用戶系統管理員角色
輸入下列命令,並同意此項 Windows PowerShell 命令殼層提高權限:
PS C:\> Set-Executionpolicy remotesigned輸入下列命令以匯入 Virtual Machine Manager 模組:
PS C:\> Import-Module virtualmachinemanager使用 Windows PowerShell T:Microsoft.SystemCenter.VirtualMachineManager.Cmdlets.New-SCUserRole Cmdlet 來建立使用者角色。 此命令假設您已按照
$tenant程序的說明建立 使用憑證的公開金鑰建立租用戶 變數。PS C:\> $TARole = New-SCUserRole -Name contoso.cloudspace.com -ID $tenant.Id -UserRoleProfile TenantAdmin.jpeg "System_CAPS_ICON_caution.jpg")
注意請注意,如果您先前使用 VMM 系統管理主控台建立使用者角色,以 New-SCSUserRole Cmdlet 指定的權限將覆寫使用者角色的權限。
確認已建立使用者角色,方法是確認它列在 VMM 管理主控台 [設定] 工作區的 [使用者角色] 中。
選取角色並按一下工具列上的 [內容],定義角色的下列選項:
在 [範圍] 索引標籤上,選取一或多個雲端。
在 [資源] 索引標籤上,新增任何資,例如範本。
在 [動作] 索引標籤上,選取一或多個動作。
針對指派給租用戶的每一部伺服器重複執行此程序。
下一個程序會使用您剛建立的
$TARole變數。
建立租用戶自助使用者角色
輸入下列命令,在 Service Provider Foundation 中針對您在使用憑證的公開金鑰建立租用戶程序中建立的租用戶建立自助使用者。
PS C:\> $TenantSSU = New-SCSPFTenantUserRole -Name ContosoCloudSpaceSSU -Tenant $tenant輸入下列命令,在 VMM 中建立對應的租用戶使用者:
PS C:\> $vmmSSU = New-SCUserRole -Name ContosoCloudSpaceVMMSSU -UserRoleProfile SelfServiceUser -ParentUserRole $TARole -ID $TenantSSU.ID確認已建立使用者角色,方法是確認它列在 VMM 管理主控台 [設定] 工作區的 [使用者角色] 中。 請注意,該角色的上層是租用戶系統管理員。
視需要針對租用戶重複執行此程序。
請參閱
在 Service Provider Foundation 中管理憑證和使用者角色
管理 Service Provider Foundation
Service Provider Foundation 中建議的系統管理員功能
設定 Service Provider Foundation 的入口網站