Delen via

  • Artikel

Beveiliging met verificatie via certificaat instellen

 

Van toepassing op: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

U kunt DPM implementeren om computers in werkgroepen en niet-vertrouwde domeinen te beveiligen. U kunt verificatie via NTLM of certificaten verwerken. In dit onderwerp wordt beschreven hoe u beveiliging met verificatie via certificaat instelt.

Voordat u begint

  • Op elke computer die u wilt beveiligen, moet ten minste .NET Framework 3.5 met SP1 zijn geïnstalleerd.

  • Het certificaat dat u voor de verificatie gebruikt, moet voldoen aan het volgende:

    • X.509 V3-certificaat

    • Uitgebreide-sleutelgebruik (EKU) moet clientverificatie en serververificatie hebben.

    • De lengte van de sleutel moet minstens 1024 bits bedragen.

    • Het type sleutel moet exchange zijn.

    • De onderwerpnaam van het certificaat en het basiscertificaat mag niet leeg zijn.

    • De intrekkingen op de servers van de gekoppelde certificeringsinstanties zijn online en zijn toegankelijk via de beveiligde server en de DPM-server

    • Aan het certificaat moet een persoonlijke sleutel zijn gekoppeld

    • DPM biedt geen ondersteuning voor certificaten met CNG-sleutels

    • DPM biedt geen ondersteuning voor zelfondertekende certificaten.

  • Elke computer die u wilt beveiligen (inclusief virtuele machines) moet een eigen certificaat hebben.

Beveiliging instellen

  1. Een sjabloon voor DPM-certificaat maken

  2. Een certificaat op de DPM-server configureren.

  3. De agent installeren

  4. Een certificaat op de beveiligde computer configureren

  5. De computer koppelen

Een sjabloon voor DPM-certificaat maken

U kunt eventueel een DPM-sjabloon voor internetregistratie instellen. Als u dat wel wilt doen, selecteert u een sjabloon met clientverificatie en serververificatie als het beoogde doeleinde. Bijvoorbeeld:

  1. In de MMC-module certificaatsjablonen kunt u de sjabloon RAS- en IAS-server selecteren. Klik erop met de rechtermuisknop en selecteer Kopie van sjabloon.

  2. In Kopie van sjabloon laat u de standaardinstelling Windows Server 2003 Enterprise staan.

  3. In het tabblad Algemeen wijzigt u de weergavenaam van de sjabloon in iets herkenbaars. Bijvoorbeeld DPM-verificatie. Zorg ervoor dat de instelling Certificaat in Active Directory publiceren is ingeschakeld.

  4. Zorg ervoor dat Exporteren van persoonlijke sleutel toestaan op het tabblad Afhandeling van aanvragen is ingeschakeld.

  5. Nadat u de sjabloon hebt gemaakt, maakt u deze beschikbaar voor gebruik. Open de module Certificeringsinstantie. Klik met de rechtermuisknop op Certificaatsjablonen, selecteer Nieuw en kies Te verlenen certificaatsjablonen. In Certificaatsjabloon inschakelen selecteert u de sjabloon en klikt u op OK. De sjabloon wordt nu beschikbaar wanneer u een certificaat aanvraagt.

Inschrijven of automatisch inschrijven inschakelen

Als u de sjabloon eventueel voor inschrijving of automatische inschrijving wilt configureren, klikt u op het tabblad Onderwerpnaam in de sjablooneigenschappen. Bij het configureren van inschrijving kunt u de sjabloon selecteren in de MMC-module. Als u automatisch inschrijven configureert, wordt het certificaat automatisch aan alle computers in het domein toegewezen.

  • Voor inschrijving schakelt u in het tabblad Onderwerpnaam van de sjablooneigenschappen Op basis van Active Directory-informatie samenstellen selecteren in. In Indeling van de onderwerpnaam selecteert u Algemene naam en schakelt u DNS-naam in. Ga vervolgens naar het tabblad Beveiliging en wijs de machtiging Inschrijven toe aan geverifieerde gebruikers.

  • Voor automatische inschrijving gaat u naar het tabblad Beveiliging en wijst u de machtiging Automatisch inschrijven toe aan geverifieerde gebruikers. Als deze instelling is ingeschakeld, wordt het certificaat automatisch toegewezen aan alle computers in het domein.

  • Als u de inschrijving hebt geconfigureerd, kunt u een nieuw certificaat aanvragen in de MMC, op basis van de sjabloon. Om dit te doen, klikt u op de beveiligde computer in Certificaten (Lokale computer) > Persoonlijk met de rechtermuisknop op Certificaten. Selecteer Alle taken > Nieuw certificaat aanvragen. Op de pagina Certificaatinschrijvingsbeleid selecteren van de wizard selecteert u Active Directory Domain Services-inschrijvingsbeleid. In Certificaten aanvragen ziet u de sjabloon. Vouw Details uit en klik op Eigenschappen. Selecteer het tabblad Algemeen en geef een beschrijvende naam op. Nadat u de instellingen hebt toegepast, moet u een bericht ontvangen dat het certificaat is geïnstalleerd.

Een certificaat op de DPM-server configureren

  1. Genereer een certificaat via een certificeringsinstantie voor de DPM-server, via internetregistratie of een andere methode. Selecteer in internetregistratie geavanceerd certificaat vereist en Een certificaataanvraag maken en bij deze certificeringsinstantie indienen. Zorg ervoor dat de sleutelgrootte 1024 of hoger is en dat Sleutel als exporteerbaar markeren is geselecteerd.

  2. Het certificaat wordt in het archief van de gebruiker geplaatst. Het moet naar het archief van de lokale computer worden verplaatst.

  3. Hiervoor exporteert u het certificaat uit het archief van de gebruiker. Zorg ervoor dat u het met de persoonlijke sleutel exporteert. U kunt het in de standaardindeling .pfx exporteren. Geef een wachtwoord op voor het exporteren.

  4. In Lokale Computer\Personal\Certificate voert u de wizard Certificaat uit om het geëxporteerde bestand uit de opgeslagen locatie te importeren. Geef het wachtwoord dat u hebt gebruikt om het te exporteren en zorg ervoor dat Deze sleutel als exporteerbaar markeren is geselecteerd. Laat de standaardinstelling Alle certificaten in het onderstaande archief opslaan staan en zorg ervoor dat Persoonlijk wordt weergegeven.

  5. Na het importeren stelt u de DPM-referenties om het certificaat te gebruiken als volgt in:

    1. Haal de vingerafdruk van het certificaat op. Dubbelklik in het archief Certificaten op het certificaat. Selecteer het tabblad Details en blader naar de vingerafdruk. Klik erop, markeer de afdruk en kopieer hem. Plak de vingerafdruk in Kladblok en verwijder eventuele spaties.

    2. Voer Set-DPMCredentials uit om de DPM-server te configureren:

      Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]

    • -Type: Geeft het type verificatie aan. Waarde: certificaat.

    • -Actie: Geef op of u de opdracht voor het eerst wilt uitvoeren of de referenties opnieuw wilt genereren. Mogelijke waarden: opnieuw genereren of configureren.

    • -OutputFilePath: Locatie van het uitvoerbestand dat in Set-DPMServer op de beveiligde computer wordt gebruikt.

    • –Vingerafdruk: Kopie van het Kladblok-bestand.

    • -AuthCAThumbprint: Vingerafdruk van de certificeringsinstantie in de vertrouwensketen van het certificaat. Optioneel. Indien niet opgegeven, wordt Root gebruikt.

  6. Hiermee wordt een metagegevensbestand (.bin) gegenereerd dat nodig is op het moment van de installatie van elke agent in niet-vertrouwd domein. Controleer of de map C:\Temp bestaat voordat u de opdracht uitvoert. Als het bestand verloren is gegaan of is verwijderd, kunt u het opnieuw maken door het script uit te voeren met de optie –actie opnieuw genereren.

  7. Haal het .bin-bestand op en kopieer het naar de map C:\Program Files\Microsoft Data Protection Manager\DPM\bin op de computer die u wilt beveiligen. U hoeft dit niet te doen, maar als u dit niet doet, moet u het volledige pad van het bestand voor de parameter –DPMcredential opgeven wanneer u...

  8. Herhaal deze stappen op elke DPM-server die een computer in een werkgroep of in een niet-vertrouwd domein beveiligt.

De agent installeren

  1. Voer op elke computer die u wilt beveiligen DPMAgentInstaller_X64.exe uit vanaf de DPM-installatie-cd om de agent te installeren.

Een certificaat op de beveiligde computer configureren

  1. Genereer een certificaat via een certificeringsinstantie voor de beveiligde computer, via internetregistratie of met een andere methode. Selecteer in internetregistratie geavanceerd certificaat vereist en Een certificaataanvraag maken en bij deze certificeringsinstantie indienen. Zorg ervoor dat de sleutelgrootte 1024 of hoger is en dat Sleutel als exporteerbaar markeren is geselecteerd.

  2. Het certificaat wordt in het archief van de gebruiker geplaatst. Het moet naar het archief van de lokale computer worden verplaatst.

  3. Hiervoor exporteert u het certificaat uit het archief van de gebruiker. Zorg ervoor dat u het met de persoonlijke sleutel exporteert. U kunt het in de standaardindeling .pfx exporteren. Geef een wachtwoord op voor het exporteren.

  4. In Lokale Computer\Personal\Certificate voert u de wizard Certificaat uit om het geëxporteerde bestand uit de opgeslagen locatie te importeren. Geef het wachtwoord dat u hebt gebruikt om het te exporteren en zorg ervoor dat Deze sleutel als exporteerbaar markeren is geselecteerd. Laat de standaardinstelling Alle certificaten in het onderstaande archief opslaan staan en zorg ervoor dat Persoonlijk wordt weergegeven.

  5. Na het importeren configureert u de computer als volgt zo dat die herkent dat de DPM-server is gemachtigd om back-ups uit te voeren

    1. Haal de vingerafdruk van het certificaat op. Dubbelklik in het archief Certificaten op het certificaat. Selecteer het tabblad Details en blader naar de vingerafdruk. Klik erop, markeer de afdruk en kopieer hem. Plak de vingerafdruk in Kladblok en verwijder eventuele spaties.

    2. Ga naar de map C:\Program files\Microsoft Data Protection anager\DPM\bin. En voer setdpmserver als volgt uit:

      setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Waarbij ClientThumbprintWithNoSpaces uit het Kladblok-bestand wordt gekopieerd.

    3. U moet een bevestiging krijgen dat de configuratie is voltooid.

  6. Haal het .bin-bestand op en kopieer het naar de DPM-server. We raden aan het naar de standaardlocatie te kopiëren waarin het koppelingsproces het bestand controleert (Windows\System32), dus u kunt alleen de bestandsnaam opgeven in plaats van het volledige pad als u de opdracht Attach uitvoert.

De computer koppelen

U koppelt de computer aan de DPM-server met het PowerShell-script Attach-ProductionServerWithCertificate.ps1 met de volgende syntaxis.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName: naam van de DPM-server

  • PSCredential: naam van het .bin-bestand. Als u het in de map Windows\System32 hebt geplaatst, kunt u alleen de bestandsnaam opgeven. Zorg ervoor dat u het .bin-bestand opgeeft dat op de beveiligde server is gemaakt. Als u het .bin-bestand opgeeft dat op de DPM-server is gemaakt, verwijdert u alle beveiligde computers die zijn geconfigureerd voor verificatie op basis van het certificaat.

Nadat het koppelingsproces is voltooid, moet de beveiligde computer worden weergegeven in de DPM-console.

Voorbeelden

Voorbeeld 1

Genereert een bestand in c:\CertMetaData\ with name CertificateConfiguration_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”

Waarbij dpmserver.contoso.com de naam is van de DPM-server en "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" de vingerafdruk is van het DPM-servercertificaat.

Voorbeeld 2

Genereert opnieuw een verloren configuratiebestand in de map c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate