Udostępnij za pośrednictwem

  • Artykuł

Konfigurowanie ochrony z uwierzytelnianiem za pomocą certyfikatów

 

Dotyczy: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

Ochronę przez program DPM można wdrożyć na komputerach w grupach roboczych i niezaufanych domenach. Do uwierzytelniania można używać protokołu NTLM lub certyfikatów. W tym temacie opisano sposób konfiguracji ochrony z uwierzytelnianiem za pomocą certyfikatów.

Przed rozpoczęciem

  • Na każdym komputerze, który ma być chroniony, musi być zainstalowane oprogramowanie .NET Framework w wersji co najmniej 3.5 z dodatkiem SP1.

  • Certyfikat używany do uwierzytelniania musi spełniać następujące warunki:

    • Certyfikat X.509 V3

    • Rozszerzone użycie klucza (EKU) powinno obejmować uwierzytelnianie klienta i serwera.

    • Długość klucza powinna wynosić co najmniej 1024 bity.

    • Typem klucza musi być exchange.

    • Nazwa podmiotu certyfikatu i certyfikat główny nie mogą być puste.

    • Serwery odwołań powiązanych urzędów certyfikacji muszą być online i dostępne zarówno dla chronionego serwera, jak i serwera DPM.

    • Z certyfikatem musi być powiązany klucz prywatny.

    • DPM nie obsługuje certyfikatów z kluczami CNG.

    • DPM nie obsługuje certyfikatów z podpisem własnym.

  • Każdy komputer, który ma być chroniony (w tym maszyny wirtualne), musi mieć własny certyfikat.

Konfigurowanie ochrony

  1. Tworzenie szablonu certyfikatu programu DPM

  2. Konfigurowanie certyfikatu na serwerze DPM.

  3. Instalowanie agenta

  4. Konfigurowanie certyfikatu na chronionym komputerze

  5. Dołączanie komputera

Tworzenie szablonu certyfikatu programu DPM

Opcjonalnie możesz skonfigurować szablon programu DPM na potrzeby rejestracji w sieci Web. Jeśli chcesz to zrobić, wybierz szablon, którego zamierzony cel to Uwierzytelnianie klienta i Uwierzytelnianie serwera. Na przykład:

  1. W przystawce MMC Szablony certyfikatów możesz wybrać szablon Serwery RAS i IAS. Kliknij go prawym przyciskiem myszy i wybierz polecenie Duplikuj szablon.

  2. W oknie Duplikowanie szablonu pozostaw domyślne ustawienie Windows Server 2003 Enterprise.

  3. Na karcie Ogólne zmień nazwę wyświetlaną szablonu na mówiącą coś o nim. Na przykład Uwierzytelnianie DPM. Upewnij się, że włączone jest ustawienie Publikuj certyfikat w usłudze Active Directory.

  4. Na karcie Obsługiwanie żądań upewnij się, że włączone jest ustawienie Zezwalaj na eksportowanie klucza prywatnego.

  5. Po utworzeniu szablonu zezwól na jego używanie. Otwórz przystawkę Urząd certyfikacji. Kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, wybierz polecenie Nowy, a następnie Szablon certyfikatu do wystawienia. W oknie Włączanie szablonu certyfikatu wybierz szablon i kliknij przycisk OK. Teraz szablon będzie dostępny podczas uzyskiwania certyfikatu.

Włączanie rejestrowania lub autorejestrowania

Jeśli chcesz opcjonalnie skonfigurować szablon na potrzeby rejestrowania lub autorejestrowania, kliknij kartę Nazwa podmiotu we właściwościach szablonu. Po skonfigurowaniu rejestrowania szablon można wybrać w przystawce MMC. Jeśli zostanie skonfigurowane autorejestrowanie, certyfikat zostanie automatycznie przypisany do wszystkich komputerów w domenie.

  • Na czas rejestrowania na karcie Nazwa podmiotu we właściwościach szablonu włącz ustawienie Konstruuj z tej informacji usługi Active Directory. W polu Format nazwy podmiotu wybierz opcję Nazwa pospolita i włącz ustawienie Nazwa DNS. Następnie przejdź na kartę Zabezpieczenia i przyznaj uprawnienie Rejestrowanie użytkownikom uwierzytelnionym.

  • W przypadku autorejestrowania przejdź na kartę Zabezpieczenia i przyznaj uprawnienie Autorejestrowanie użytkownikom uwierzytelnionym. Po włączeniu tego ustawienia certyfikat zostanie automatycznie przypisany do wszystkich komputerów w domenie.

  • Jeśli skonfigurowano rejestrowanie, w przystawce MMC będzie można wprowadzać żądania nowego certyfikatu na podstawie szablonu. Aby to zrobić, na chronionym komputerze w sekcji Certyfikaty (komputer lokalny) > Osobiste kliknij prawym przyciskiem myszy pozycję Certyfikaty. Wybierz polecenie Wszystkie zadania > Żądaj nowego certyfikatu. Na stronie Wybierz zasady rejestracji certyfikatu kreatora wybierz opcję Zasady rejestracji usługi Active Directory. W oknie Żądaj certyfikatów będzie widoczny szablon. Rozwiń węzeł Szczegóły i kliknij polecenie Właściwości. Wybierz kartę Ogólne i podaj przyjazną nazwę. Po zastosowaniu ustawień powinien zostać wyświetlony komunikat o pomyślnym zarejestrowaniu certyfikatu.

Konfigurowanie certyfikatu na serwerze DPM

  1. Wygeneruj certyfikat z urzędu certyfikacji dla serwera DPM za pomocą rejestrowania w sieci Web lub innej metody. W przypadku rejestrowania w sieci Web wybierz opcje zaawansowane żądanie certyfikatu i Utwórz i prześlij żądanie do tego urzędu certyfikacji. Upewnij się, że rozmiar klucza wynosi co najmniej 1024 i wybrana jest opcja Oznacz ten klucz jako eksportowalny.

  2. Certyfikat zostanie umieszczony w magazynie Użytkownik. Trzeba przenieść go do magazynu Komputer lokalny.

  3. W tym celu należy wyeksportować certyfikat z magazynu Użytkownik. Certyfikat trzeba wyeksportować razem z kluczem prywatnym. Możesz wyeksportować go w domyślnym formacie pfx. Podaj hasło do eksportowanego pliku.

  4. W obszarze Komputer lokalny\Osobiste\Certyfikat uruchom Kreatora importu certyfikatów, aby zaimportować wyeksportowany plik z miejsca, w którym został zapisany. Podaj hasło użyte podczas eksportowania i upewnij się, że włączona jest opcja Oznacz ten klucz jako eksportowalny. Na stronie Magazyn certyfikatów pozostaw domyślne ustawienie Umieść wszystkie certyfikaty w następującym magazynie i upewnij się, że wybrana jest opcja Osobiste.

  5. Po zaimportowaniu ustaw używanie certyfikatu jako poświadczeń programu DPM w następujący sposób:

    1. Uzyskaj odcisk palca certyfikatu. W magazynie Certyfikaty kliknij dwukrotnie certyfikat. Wybierz kartę Szczegóły i przewiń w dół do odcisku palca. Kliknij go, zaznacz i skopiuj. Wklej odcisk palca do Notatnika i usuń wszystkie spacje.

    2. Uruchom polecenie Set-DPMCredentials, aby skonfigurować serwer DPM:

      Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]

    • -Type — wskazuje typ uwierzytelniania. Wartość: certificate.

    • -Action — wskazuje, czy polecenie ma zostać wykonane po raz pierwszy, czy poświadczenia mają zostać wygenerowane ponownie. Dopuszczalne wartości: regenerate (generuj ponownie) lub configure (konfiguruj).

    • -OutputFilePath — lokalizacja pliku wyjściowego używanego w poleceniu Set-DPMServer na chronionym komputerze.

    • –Thumbprint — skopiuj z Notatnika.

    • -AuthCAThumbprint — odcisk palca urzędu certyfikacji w łańcuchu zaufania certyfikatu. Opcjonalnie. Jeśli nie jest podany, zostanie użyty urząd główny.

  6. Uruchomienie tego polecenia spowoduje wygenerowanie pliku metadanych (bin) wymaganego podczas każdego instalowania agenta w niezaufanej domenie. Przed uruchomieniem polecenia musi istnieć folder C:\Temp. Jeśli plik zostanie utracony lub usunięty, można go utworzyć ponownie przez uruchomienie skryptu z opcją –action regenerate.

  7. Skopiuj plik bin do folderu C:\Program Files\Microsoft Data Protection Manager\DPM\bin na komputerze, który ma być chroniony. Nie jest to konieczne, ale jeśli tego nie zrobisz, musisz podać pełną ścieżkę do tego pliku w parametrze –DPMcredential podczas…

  8. Powtórz te czynności na każdym serwerze DPM chroniącym komputery w grupie roboczej lub niezaufanej domenie.

Instalowanie agenta

  1. Na każdym komputerze, który ma być chroniony, uruchom program DPMAgentInstaller_X64.exe z instalacyjnej płyty CD programu DPM, aby zainstalować agenta.

Konfigurowanie certyfikatu na chronionym komputerze

  1. Wygeneruj certyfikat z urzędu certyfikacji dla chronionego komputera za pomocą rejestrowania w sieci Web lub innej metody. W przypadku rejestrowania w sieci Web wybierz opcje zaawansowane żądanie certyfikatu i Utwórz i prześlij żądanie do tego urzędu certyfikacji. Upewnij się, że rozmiar klucza wynosi co najmniej 1024 i wybrana jest opcja Oznacz ten klucz jako eksportowalny.

  2. Certyfikat zostanie umieszczony w magazynie Użytkownik. Trzeba przenieść go do magazynu Komputer lokalny.

  3. W tym celu należy wyeksportować certyfikat z magazynu Użytkownik. Certyfikat trzeba wyeksportować razem z kluczem prywatnym. Możesz wyeksportować go w domyślnym formacie pfx. Podaj hasło do eksportowanego pliku.

  4. W obszarze Komputer lokalny\Osobiste\Certyfikat uruchom Kreatora importu certyfikatów, aby zaimportować wyeksportowany plik z miejsca, w którym został zapisany. Podaj hasło użyte podczas eksportowania i upewnij się, że włączona jest opcja Oznacz ten klucz jako eksportowalny. Na stronie Magazyn certyfikatów pozostaw domyślne ustawienie Umieść wszystkie certyfikaty w następującym magazynie i upewnij się, że wybrana jest opcja Osobiste.

  5. Po zaimportowaniu skonfiguruj na komputerze rozpoznawanie serwera DPM jako autoryzowanego do wykonywania kopii zapasowych w następujący sposób

    1. Uzyskaj odcisk palca certyfikatu. W magazynie Certyfikaty kliknij dwukrotnie certyfikat. Wybierz kartę Szczegóły i przewiń w dół do odcisku palca. Kliknij go, zaznacz i skopiuj. Wklej odcisk palca do Notatnika i usuń wszystkie spacje.

    2. Przejdź do folderu C:\Program files\Microsoft Data Protection Manager\DPM\bin. Uruchom polecenie setdpmserver w następujący sposób:

      setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Gdzie odcisk palca ClientThumbprintWithNoSpaces jest skopiowany z pliku w Notatniku.

    3. Powinien zostać wyświetlony komunikat potwierdzający pomyślne przeprowadzenie konfiguracji.

  6. Skopiuj plik bin na serwer DPM. Sugerujemy skopiowanie go do lokalizacji domyślnej, w której będzie go szukać proces Attach (Windows\System32), dzięki czemu podczas uruchamiania polecenia Attach wystarczy podać samą nazwę pliku zamiast pełnej ścieżki.

Dołączanie komputera

Aby dołączyć komputer do serwera DPM, użyj skryptu PowerShell Attach-ProductionServerWithCertificate.ps1 z poniższymi parametrami.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName — nazwa serwera DPM,

  • PSCredential — nazwa pliku bin. Jeśli plik został skopiowany do folderu Windows\System32, wystarczy podać tylko jego nazwę. Pamiętaj, żeby wskazać plik bin utworzony na chronionym serwerze. Jeśli wskażesz plik bin utworzony na serwerze DPM, usuniesz wszystkie chronione komputery, które mają skonfigurowane uwierzytelnianie na podstawie certyfikatów.

Po zakończeniu procesu dołączania komputer chroniony powinien być widoczny w konsoli programu DPM.

Przykłady

Przykład 1

Wygenerowanie w folderze c:\CertMetaData\ pliku o nazwie CertificateConfiguration_<W PEŁNI KWALIFIKOWANA NAZWA SERWERA DPM>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”

Gdzie dpmserver.contoso.com jest nazwą serwera DPM, a „cf822d9ba1c801ef40d4b31de0cfcb200a8a2496” to odcisk palca certyfikatu serwera DPM.

Przykład 2

Ponowne wygenerowanie utraconego pliku konfiguracji w folderze c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate