証明書認証による保護のセットアップ
適用対象: System Center 2012 SP1 - Data Protection Manager,System Center 2012 - Data Protection Manager,System Center 2012 R2 Data Protection Manager
DPM を展開することで、ワークグループおよび信頼されていないドメインに属するコンピューターを保護することができます。 NTLM または証明書を使用して認証を処理できます。 このトピックでは、証明書認証を使用して保護をセットアップする方法について説明します。
アップグレードを開始する前に
保護するそれぞれのコンピューターには、.NET Framework 3.5 SP1 以降がインストールされている必要があります。
認証で使用する証明書は、以下の条件に適合している必要があります。
X.509 V3 証明書
拡張キー使用法 (EKU) にクライアント認証とサーバー認証が含まれている。
キーの長さは 1024 ビット以上とする。
キーの種類は exchange とする。
証明書とルート証明書のサブジェクト名は空にしない。
関連付けられた証明機関の失効サーバーは、オンラインになっており、保護されたサーバーと DPM サーバーの両方でアクセス可能である。
証明書には、関連付けられた秘密キーが含まれている。
DPM は CNG キーを持つ証明書をサポートしていない。
DPM は自己署名証明書をサポートしていない。
保護対象の各コンピューター (仮想マシンを含む) は独自の証明書を備えている必要があります。
保護のセットアップ
DPM 証明書テンプレートを作成する
DPM サーバーで証明書を構成する にする必要があります。
エージェントをインストールする
保護されたコンピューターで証明書を構成する
コンピューターを接続する
DPM 証明書テンプレートを作成する
必要に応じて Web 登録のための DPM テンプレートをセットアップすることができます。 これを実行する場合は、使用目的に応じてクライアント認証およびサーバー認証を持つテンプレートを選択します。 たとえば、
[証明書テンプレート] MMC スナップインで、[RAS および IAS サーバー] テンプレートを選択するとします。 そのテンプレートを右クリックし、[テンプレートの複製] を選択します。
[テンプレートの複製] では、既定の設定 [Windows Server 2003 Enterprise] をそのまま使用します。
[全般] タブで、テンプレートの表示名を認識できる名前に変更します。 たとえば、[DPM 認証] とします。 設定 [Active Directory で証明書を発行する] が有効になっていることを確認します。
[要求処理] タブで、[秘密キーのエクスポートを許可する] が有効になっていることを確認します。
テンプレートを作成したら、テンプレートを使用できるようにします。 証明機関スナップインを開きます。[証明書テンプレート] を右クリックし、[新規作成]、[発行する証明書テンプレート] の順に選択します。 [証明書テンプレートを有効にする] で、テンプレートを選択し、[OK] をクリックします。 これで、証明書を取得すると、テンプレートが使用できるようになります。
登録または自動登録を有効にする
登録または自動登録のためのテンプレートを必要に応じて構成する場合は、テンプレート プロパティで [サブジェクト名] タブをクリックします。 登録を構成する場合は、MMC でテンプレートを選択できます。 自動登録を構成する場合は、証明書がドメイン内のすべてのコンピューターに自動的に割り当てられます。
登録の場合は、テンプレート プロパティの [サブジェクト名] タブで [この Active Directory 情報からビルドを選択する] を有効にします。 [サブジェクト名の形式] で、[共通名] を選択し、[DNS 名] を有効にします。 [セキュリティ] タブに移動し、[登録] アクセス許可を認証されたユーザーに割り当てます。
自動登録の場合は、[セキュリティ] タブに移動し、[自動登録] アクセス許可を認証されたユーザーに割り当てます。 この設定が有効になると、ドメイン内のすべてのコンピューターに証明書が自動的に割り当てられます。
登録が構成済みである場合は、MMC で、テンプレートに基づいて新しい証明書を要求することができます。 それを行うには、保護されたコンピューター上で [証明書 (ローカル コンピューター)] > [個人用] の順に進み、[証明書] を右クリックします。 [すべてのタスク] > [新しい証明書を要求] を選択します。 ウィザードの [証明書の登録ポリシーの選択] ページで、[Active Directory の登録ポリシー] を選択します。 [証明書の要求] にテンプレートが表示されます。 [詳細] を展開して、[プロパティ] をクリックします。 [全般] タブを選択し、わかりやすい名前を指定します。 設定を適用すると、証明書が正常にインストールされたことを示すメッセージが届きます。
DPM サーバーで証明書を構成する
Web 登録またはその他の方法を使用して、DPM サーバーで CA から証明書を生成します。 Web 登録で、[高度な証明書が必要] および [要求を作成してこの CA に送信する] を選択します。 キーのサイズが 1024 以上であること、および [キーをエクスポート可能として指定する] が選択されていることを確認します。
証明書はユーザー ストアに格納されます。 それをローカル コンピューター ストアに移動する必要があります。
そのためには、ユーザー ストアから証明書をエクスポートします。 必ず証明書と秘密キーを一緒にエクスポートします。 既定の .pfx 形式でエクスポートできます。 エクスポートのパスワードを指定します。
Local Computer\Personal\Certificate で、証明書インポート ウィザードを実行して、エクスポートされたファイルを保存場所からインポートします。 エクスポートのときに使用したパスワードを指定し、[キーをエクスポート可能として指定する] が選択されていることを確認します。 [証明書ストア] ページで、既定の設定 [すべての証明書を次のストアに格納する] をそのままにし、[個人] が表示されていることを確認します。
インポート後、証明書を使用するために、次のように DPM 資格情報を設定します。
証明書のサムプリントを取得します。 [証明書] ストアで、証明書をダブルクリックします。 [詳細] タブを選択し、サムプリントまでスクロールダウンします。 サムプリントをクリックして強調表示にし、コピーします。 サムプリントをメモ帳に貼り付け、スペースをすべて除去します。
Set-DPMCredentials を実行して、DPM サーバーを構成します。
Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]
-Type — 認証の種類を示します。 値: certificat。
-Action — コマンドを初めて実行するのか、または資格情報を再生成するのかを指定します。 使用可能な値: regenerate または configure。
-OutputFilePath - 保護されたコンピューター上で、Set-DPMServer で使用される出力ファイルの場所。
–Thumbprint - メモ帳ファイルからのコピー。
- AuthCAThumbprint - 証明書の信頼チェーン内の CA の拇印。 任意。 指定されていない場合は、ルートが使用されます。
これにより、信頼されていないドメインでエージェントをインストールするたびに必要になるメタデータ ファイル (.bin) が生成されます。 コマンドを実行する前に C:\Temp フォルダーが存在することを確認します。 ファイルが失われたり削除されたりした場合は、–action regenerate オプションを指定してスクリプトを実行することにより、ファイルを再作成できます。
.bin ファイルを取得し、保護するコンピューター上の C:\Program Files\Microsoft Data Protection Manager\DPM\bin フォルダーにコピーします。 これは行わなくてもかまいません。しかし、これを行わないと、–DPMcredential パラメーターを使用する場合にファイルの完全パスを指定する必要があります。
ワークグループまたは信頼されていないドメインに属するコンピューターを保護するすべての DPM サーバーでこれらの手順を繰り返します。
エージェントをインストールする
- 保護する各コンピューターで、DPM インストール CD に入っている DPMAgentInstaller_X64.exe を実行してエージェントをインストールします。
保護されたコンピューターで証明書を構成する
Web 登録またはその他の方法を使用して、保護されたコンピューターで CA から証明書を生成します。 Web 登録で、[高度な証明書が必要] および [要求を作成してこの CA に送信する] を選択します。 キーのサイズが 1024 以上であること、および [キーをエクスポート可能として指定する] が選択されていることを確認します。
証明書はユーザー ストアに格納されます。 それをローカル コンピューター ストアに移動する必要があります。
そのためには、ユーザー ストアから証明書をエクスポートします。 必ず証明書と秘密キーを一緒にエクスポートします。 既定の .pfx 形式でエクスポートできます。 エクスポートのパスワードを指定します。
Local Computer\Personal\Certificate で、証明書インポート ウィザードを実行して、エクスポートされたファイルを保存場所からインポートします。 エクスポートのときに使用したパスワードを指定し、[キーをエクスポート可能として指定する] が選択されていることを確認します。 [証明書ストア] ページで、既定の設定 [すべての証明書を次のストアに格納する] をそのままにし、[個人] が表示されていることを確認します。
インポート後、バックアップの実行を承認された DPM サーバーを認識するようにコンピューターを構成します。
証明書のサムプリントを取得します。 [証明書] ストアで、証明書をダブルクリックします。 [詳細] タブを選択し、サムプリントまでスクロールダウンします。 サムプリントをクリックして強調表示にし、コピーします。 サムプリントをメモ帳に貼り付け、スペースをすべて除去します。
C:\Program files\Microsoft Data Protection anager\DPM\bin フォルダーに移動します。 次のように、setdpmserver を実行します。
setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
ここで、ClientThumbprintWithNoSpaces がメモ帳ファイルからコピーされます。
出力を取得して、構成が正常に完了したことを確認する必要があります。
.bin ファイルを取得し、DPM サーバーにコピーします。 Attach コマンドを実行する場合に完全パスではなくファイル名を指定するだけで済むように、Attach プロセスがファイルの存在をチェックする既定の場所 (windows \system32) にファイルをコピーすることをお勧めします。
コンピューターを接続する
Attach-ProductionServerWithCertificate.ps1 という PowerShell スクリプトを使用して、コンピューターを DPM サーバーにアタッチします。構文は次のとおりです。
Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
-DPMServerName - DPM サーバーの名前です。
PSCredential - .bin ファイルの名前です。 Windows \system32 フォルダーに配置した場合、ファイル名のみの指定で済みます。 保護されたサーバー上で作成された .bin ファイルを指定するよう注意してください。 DPM サーバーで作成された .bin ファイルを指定する場合は、証明書ベースの認証のために構成したすべての保護されたコンピューターを削除します。
アタッチ プロセスが完了すると、保護されたコンピューターが DPM コンソールに表示されます。
例
例 1
CertificateConfiguration_<DPM サーバーの FQDN>.bin という名前でファイルを c:\CertMetaData\ に生成します。
Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”
ここで、dpmserver.contoso.com は DPM サーバーの名前であり、“cf822d9ba1c801ef40d4b31de0cfcb200a8a2496” は DPM サーバーの証明書の拇印です。
例 2
失われた構成ファイルをフォルダー c:\CertMetaData\ に再生成します。
Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate