Partilhar via

  • Artigo

Configurar proteção com autenticação de certificados

 

Aplica-se a: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

Pode implementar o DPM para proteger computadores em grupos de trabalho e domínios não fidedignos. Pode processar a autenticação utilizando NTLM ou certificados. Este tópico descreve como configurar a proteção com uma autenticação de certificados.

Antes de começar

  • Os computadores que pretender proteger deverão ter, pelo menos, o .NET Framework 3.5 com SP1 instalado.

  • O certificado que utilizar para autenticação tem de estar em conformidade com o seguinte:

    • Certificado X.509 V3

    • A Utilização de Chave Avançada (EKU) deverá ter uma autenticação de cliente e uma autenticação de servidor.

    • A chave deverá ter um comprimento de, pelo menos, 1024 bits.

    • O tipo de chave deverá ser exchange.

    • O nome do requerente do certificado e o certificado de raiz não deverão estar vazios.

    • Os servidores de revogação das Autoridades de Certificação associadas estão disponíveis online e é possível acedê-los através do servidor protegido e do servidor do DPM.

    • O certificado deverá ter uma chave privada associada.

    • O DPM não suporta certificados com chaves CNG

    • O DPM não suporta certificados autoassinados.

  • Os computadores que pretender proteger (incluindo as máquinas virtuais) têm de ter o seu próprio certificado.

Configurar a proteção

  1. Criar um modelo de certificado do DPM

  2. Configurar um certificado no servidor do DPM.

  3. Instalar o agente

  4. Configurar um certificado num computador protegido

  5. Ligar o computador

Criar um modelo de certificado do DPM

Pode configurar, opcionalmente, um modelo do DPM para inscrição via Web. Se assim o pretender, selecione um modelo que tenha uma Autenticação de Cliente e uma Autenticação de Servidor, conforme o objetivo a que se destina. Por exemplo:

  1. No snap-in MMC Modelos de Certificados poderia selecionar o modelo Servidor RAS e IAS. Clique com o botão direito do rato e selecione Modelo Duplicado.

  2. Em Modelo Duplicado, mantenha a predefinição Windows Server 2003 Enterprise.

  3. No separador Geral, altere o nome a apresentar do modelo para um nome reconhecível. Por exemplo, Autenticação do DPM. Certifique-se de que a definição Publicar certificado no Active Directory está ativada.

  4. No separador Processamento de Pedidos, certifique-se de que a opção Permitir que a chave privada seja exportada está ativada.

  5. Depois de criar o modelo, disponibilize-o para utilização. Abra o snap-in Autoridade de Certificação. Clique com o botão direito do rato em Modelos de Certificados, selecione Novo e selecione Modelo de Certificado a Emitir. Em Ativar Modelo de Certificado, selecione o modelo e clique em OK. Agora, o modelo estará disponível quando obtiver um certificado.

Ativar inscrição ou inscrição automática

Se pretender configurar, opcionalmente, o modelo para inscrição ou inscrição automática, clique no separador Nome do Requerente nas propriedades do modelo. Ao configurar a inscrição, o modelo pode ser selecionado na MMC. Se configurar a inscrição automática, o certificado é atribuído automaticamente a todos os computadores no domínio.

  • Para a inscrição, no separador Nome do Requerente das propriedades do modelo, ative a opção Selecionar Compilação a partir destas informações do Active Directory. Em Formato de nome do requerente, selecione Nome Comum e ative a opção Nome DNS. Em seguida, aceda ao separador Segurança e atribua a permissão de Inscrição aos utilizadores autenticados.

  • Para a inscrição automática, aceda ao separador Segurança e atribua a permissão de Inscrição Automática aos utilizadores autenticados. Com esta definição ativada o certificado será automaticamente atribuído a todos os computadores no domínio.

  • Se tiver configurado a inscrição, poderá pedir um novo certificado na MMC, com base no modelo. Para fazê-lo, no computador protegido, em Certificados (Computador Local) > Pessoal, clique com o botão direito do rato em Certificados. Selecione Todas as Tarefas > Pedir Novo Certificado. Na página Selecionar Política de Inscrição de Certificados do assistente, selecione Política de Inscrição do Active Directory. Verá o modelo em Pedir Certificados. Expanda os Detalhes e clique em Propriedades. Selecione o separador Geral e dê um nome amigável. Depois de aplicar as definições, deverá receber uma mensagem a informar que o certificado foi instalado com êxito.

Configurar um certificado no servidor do DPM

  1. Gere um certificado a partir de uma AC para o servidor do DPM, através de inscrição via Web ou de outro método. Na inscrição via Web, selecione certificado avançado necessário e Criar e Submeter um pedido a esta AC. Certifique-se de que a chave tem um tamanho de 1024 bits ou superior e de que a opção Marcar chave como exportável está selecionada.

  2. O certificado é colocado no arquivo de Utilizadores. É necessário movê-lo para o arquivo do Computador Local.

  3. Para fazê-lo, exporte o certificado a partir do arquivo de Utilizadores. Certifique-se de que o exporta com a chave privada. Pode exportá-lo no formato .pfx predefinido. Especifique uma palavra-passe para a exportação.

  4. Em Local Computer\Personal\Certificate execute o Assistente de Importação de Certificados para importar o ficheiro exportado a partir do local onde foi guardado. Especifique a palavra-passe utilizada para exportá-lo e certifique-se de que a opção Marcar esta chave como exportável está selecionada. Na página Arquivo de Certificados, mantenha a predefinição Colocar todos os certificados no seguinte arquivo e certifique-se de que a pasta Pessoal é apresentada.

  5. Depois da importação, defina as credenciais do DPM para utilizar o certificado da seguinte forma:

    1. Obtenha o thumbprint do certificado. No arquivo Certificados, faça duplo clique no certificado. Selecione o separador Detalhes e desloque-se para baixo até ao thumbprint. Clique nele, realce-o e copie-o. Cole o thumbprint no Bloco de Notas e remova todos os espaços.

    2. Execute o comando Set-DPMCredentials para configurar o servidor do DPM:

      Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]

    • -Type - Indica o tipo de autenticação. Valor: certificado.

    • -Action - Especifique se pretende executar o comando pela primeira vez ou voltar a gerar as credenciais. Valores possíveis: voltar a gerar ou configurar.

    • -OutputFilePath - Localização do ficheiro de saída utilizado no comando Set-DPMServer no computador protegido.

    • – Thumbprint - Cópia do ficheiro do Bloco de Notas.

    • -AuthCAThumbprint – O thumbprint da AC na cadeia fidedigna do certificado. Opcional. Caso não seja especificado, a Raiz será utilizada.

  6. Isto gera um ficheiro de metadados (.bin) que é necessário no momento de instalação dos agentes no domínio não fidedigno. Certifique-se de que a pasta C:\Temp existe antes de executar o comando. Tenha em atenção que se perder o ficheiro ou se este for eliminado, pode recriá-lo ao executar o script com a opção – voltar a gerar ações.

  7. Obtenha o ficheiro .bin e copie-o para a pasta C:\Program Files\Microsoft Data Protection Manager\DPM\bin no computador que pretende proteger. Não é necessário fazer isto, mas se não o fizer terá de especificar o caminho completo do ficheiro para o parâmetro – DPMcredential quando…

  8. Repetir estes passos em todos os servidores do DPM que irão proteger um computador num grupo de trabalho ou domínio não fidedigno.

Instalar o agente

  1. Nos computadores que pretende proteger, execute o DPMAgentInstaller_X64.exe a partir do CD de instalação do DPM para instalar o agente.

Configurar um certificado num computador protegido

  1. Gere um certificado a partir de uma AC para o computador protegido, através de inscrição via Web ou de outro método. Na inscrição via Web, selecione certificado avançado necessário e Criar e Submeter um pedido a esta AC. Certifique-se de que a chave tem um tamanho de 1024 bits ou superior e de que a opção Marcar chave como exportável está selecionada.

  2. O certificado é colocado no arquivo de Utilizadores. É necessário movê-lo para o arquivo do Computador Local.

  3. Para fazê-lo, exporte o certificado a partir do arquivo de Utilizadores. Certifique-se de que o exporta com a chave privada. Pode exportá-lo no formato .pfx predefinido. Especifique uma palavra-passe para a exportação.

  4. Em Local Computer\Personal\Certificate execute o Assistente de Importação de Certificados para importar o ficheiro exportado a partir do local onde foi guardado. Especifique a palavra-passe utilizada para exportá-lo e certifique-se de que a opção Marcar esta chave como exportável está selecionada. Na página Arquivo de Certificados, mantenha a predefinição Colocar todos os certificados no seguinte arquivo e certifique-se de que a pasta Pessoal é apresentada.

  5. Depois da importação, configure o computador para reconhecer o servidor do DPM como autorizado e efetuar as cópias de segurança da seguinte forma

    1. Obtenha o thumbprint do certificado. No arquivo Certificados, faça duplo clique no certificado. Selecione o separador Detalhes e desloque-se para baixo até ao thumbprint. Clique nele, realce-o e copie-o. Cole o thumbprint no Bloco de Notas e remova todos os espaços.

    2. Navegue para a pasta C:\Program files\Microsoft Data Protection anager\DPM\bin. E execute o comando setdpmserver da seguinte forma:

      setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Em que ClientThumbprintWithNoSpaces é copiado a partir do ficheiro do Bloco de Notas.

    3. Deverá receber uma mensagem de saída a confirmar que a configuração foi concluída com êxito.

  6. Obtenha o ficheiro .bin e copie-o para o servidor do DPM. Sugerimos que o copie para a localização predefinida na qual o processo Ligar irá verificar o ficheiro (Windows\System32) para que possa apenas especificar o nome de ficheiro, em vez do caminho completo, ao executar o comando Ligar.

Ligar o computador

Ligue o computador ao servidor do DPM utilizando o script Attach-ProductionServerWithCertificate.ps1 do PowerShell, com a sintaxe.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName - Nome do servidor do DPM

  • PSCredential - Nome do ficheiro .bin. Se o colocou na pasta Windows\System32, pode especificar apenas o nome de ficheiro. Tenha o cuidado de especificar o ficheiro .bin criado no servidor protegido. Se especificar o ficheiro .bin criado no servidor do DPM irá remover todos os computadores protegidos que estão configurados para autenticação com base em certificados.

Quando o processo de ligação estiver concluído, o computador protegido deverá ser apresentado na consola do DPM.

Exemplos

Exemplo 1

Gera um ficheiro no c:\CertMetaData\ com o nome CertificateConfiguration_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”

Em que dpmserver.contoso.com é o nome do servidor do DPM e “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496” é o thumbprint do certificado do servidor do DPM.

Exemplo 2

Volta a gerar um ficheiro de configuração perdido na pasta c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate