Konfigurera skydd med certifikatautentisering

 

Gäller för: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

Du kan distribuera DPM för att skydda datorer i arbetsgrupper och obetrodda domäner. Du kan hantera autentisering med NTLM eller certifikat. I det här avsnittet beskrivs hur du konfigurerar skydd med certifikatautentisering.

Innan du börjar

• Varje dator som du vill skydda måste ha minst .NET Framework 3.5 med SP1 installerat.

• Certifikatet som du använder för autentisering måste uppfylla följande:

  • X.509 v3-certifikat

  • Förbättrad nyckelanvändning (EKU) ska ha klientautentisering och serverautentisering.

  • Nyckellängden ska vara minst 1024 bitar.

  • Nyckeltypen ska vara Utbyte.

  • Ämnesnamnet för certifikatet och rotcertifikatet får inte vara tomt.

  • Återkallningsservrarna för de associerade certifikatutfärdarna ska vara online och tillgängliga för både den skyddade servern och DPM-servern

  • Certifikatet ska ha en tillhörande privat nyckel

  • DPM har inte stöd certifikat med CNG-nycklar

  • DPM har inte stöd för självsignerade certifikat.

• Varje dator som du vill skydda (inklusive virtuella datorer) måste ha ett eget certifikat.

Konfigurera skydd

1. Skapa en DPM-certifikatmall

2. Konfigurera ett certifikat på DPM-servern.

3. Installera agenten

4. Konfigurera ett certifikat på den skyddade datorn

5. Anslut datorn

Skapa en DPM-certifikatmall

Om du vill kan du konfigurera en DPM-mall för webbregistrering. Det gör du genom att välja en mall som har klientautentisering och serverautentisering som avsett syfte. Exempel:

1. I MMC-snapin-modulen Certifikatmallar kan du välja mallen Fjärråtkomstserver (RAS) och IAS Server. Högerklicka på mallen och välj Duplicera mall.

2. I Duplicera mall lämnar du standardinställningen Windows Server 2003 Enterprise.

3. På fliken Allmänt ändrar du visningsnamnet för mallen till något som är lätt att känna igen. Till exempel DPM-autentisering. Se till att inställningen Publicera certifikatet i Active Directory är aktiverad.

4. På fliken Hantering av begäranden kontrollerar du att Tillåt att den privata nyckeln exporteras är aktiverat.

5. När du har skapat mappen gör du den tillgänglig för användning. Öppna snapin-modulen Certifikatutfärdare. Högerklicka på Certifikatmallar, välj Ny och sedan Certifikatmall som ska utfärdas. I Aktivera certifikatmallar markerar du mallen och klickar på OK. Nu blir mallen tillgänglig när du har fått ett certifikat.

Aktivera registrering eller automatisk registrering

Om du vill kan du konfigurera mallen för registrering eller automatisk registrering genom att klicka på fliken Ämnesnamn i mallens egenskaper. När du konfigurerar registreringen kan du välja mallen i MMC. Om du konfigurerar automatisk registrering tilldelas alla datorer i domänen certifikatet automatiskt.

• För registrering aktiverar du Skapa utifrån följande Active Directory-information på fliken Ämnesnamn i mallens egenskaper. I Ämnesnamnets format väljer du Nätverksnamn och aktiverar DNS-namn. Gå till fliken Säkerhet och tilldela autentiserade användare behörigheten Registrera.

• För automatisk registrering går du fliken Säkerhet och tilldelar autentiserade användare behörigheten Registrera automatiskt. Genom att aktivera den här inställningen blir alla datorer i domänen tilldelade certifikatet automatiskt.

• Om du har konfigurerat registrering kan du begära ett nytt certifikat i MMC baserat på mallen. Det gör du genom att högerklicka på Certifikat i Certifikat (lokal dator) > Personligt på den skyddade datorn. Välj Alla aktiviteter > Begär nytt certifikat. På sidan Välj princip för certifikatregistrering i guiden väljer du Registreringsprincip för Active Directory. Du ser mallen i Begära certifikat. Expandera Information och klicka på Egenskaper. Välj fliken Allmänt och ange ett eget namn. När du har tillämpat inställningarna bör du få ett meddelande om att certifikatet har installerats.

Konfigurera ett certifikat på DPM-servern

1. Generera ett certifikat från en certifikatutfärdare för DPM-servern, via webbregistrering eller någon annan metod. I webbregistreringen väljer du Avancerad certifikatbegäran och Skapa och skicka en begäran till denna certifikatutfärdare. Se till att nyckelstorleken är 1024 eller högre och att Markera att nycklarna kan exporteras är markerat.

2. Certifikatet placeras i användararkivet. Det måste flyttas till datorarkivet.

3. Du kan göra detta genom att exportera certifikatet från användararkivet. Kontrollera att du exporterar det med den privata nyckeln. Du kan exportera det i standardformatet .pfx. Ange ett lösenord för exporten.

4. I Lokal dator\Personligt\Certifikat kör du guiden Importera certifikat för att importera den exporterade filen från platsen där du sparade den. Ange lösenordet som du använde för att exportera filen och se till att Ange att den här nyckeln kan exporteras är markerat. På sidan Certifikatarkiv låter du standardinställningen Placera alla certifikat i nedanstående arkiv vara kvar och ser till att Personligt visas.

5. Efter importen anger du DPM-autentiseringsuppgifterna som ska använda certifikatet. Gör så här:

   1. Hämta tumavtrycket för certifikatet. I arkivet Certifikat dubbelklickar du på certifikatet. Välj fliken Information och rulla ned till tumavtrycket. Klicka på det, sedan markerar och kopiera du det. Klistra in tumavtrycket i Anteckningar och ta bort alla blanksteg.

   2. Kör Set-DPMCredentials för att konfigurera DPMservern:

      Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]
      

   • -Type – Anger autentiseringstypen. Värde: certificate.

   • -Action – Ange om du vill att utföra kommandot för första gången eller återskapa autentiseringsuppgifterna. Möjliga värden: regenerate eller configure.

   • -OutputFilePath – Platsen för utdatafilen som används i Set-DPMServer på den skyddade datorn.

   • –Thumbprint – Kopiera från anteckningsfilen.

   • -AuthCAThumbprint – Tumavtrycket från certifikatutfärdaren i certifikatkedjan för certifikatet. Valfritt. Om detta inte anges kommer Root att användas.

6. Detta genererar en metadatafil (.bin) som krävs vid tidpunkten för varje agentinstallation i en obetrodd domän. Kontrollera att mappen C:\Temp finns innan du kör kommandot. Observera att om filen förloras eller tas bort kan du återskapa den genom att köra skriptet med alternativet –action regenerate.

7. Hämta .bin-filen och kopiera den till mappen C:\Program\Microsoft Data Protection Manager\DPM\bin på datorn som du vill skydda. Du behöver inte göra detta, men om du inte gör det måste du ange den fullständiga sökvägen till filen för parametern –DPMcredential när du ...

8. Upprepa stegen på varje DPM-server som skyddar en dator i en arbetsgrupp eller en obetrodd domän.

Installera agenten

1. Kör DPMAgentInstaller_X64.exe från installations-CD:n för DPM och installera agenten på varje dator som du vill skydda.

Konfigurera ett certifikat på den skyddade datorn

1. Generera ett certifikat från en certifikatutfärdare för den skyddade datorn, antingen via webbregistrering eller någon annan metod. I webbregistreringen väljer du Avancerad certifikatbegäran och Skapa och skicka en begäran till denna certifikatutfärdare. Se till att nyckelstorleken är 1024 eller högre och att Markera att nycklarna kan exporteras är markerat.

2. Certifikatet placeras i användararkivet. Det måste flyttas till datorarkivet.

3. Du kan göra detta genom att exportera certifikatet från användararkivet. Kontrollera att du exporterar det med den privata nyckeln. Du kan exportera det i standardformatet .pfx. Ange ett lösenord för exporten.

4. I Lokal dator\Personligt\Certifikat kör du guiden Importera certifikat för att importera den exporterade filen från platsen där du sparade den. Ange lösenordet som du använde för att exportera filen och se till att Ange att den här nyckeln kan exporteras är markerat. På sidan Certifikatarkiv låter du standardinställningen Placera alla certifikat i nedanstående arkiv vara kvar och ser till att Personligt visas.

5. Efter importen konfigurerar du datorn att identifiera DPM-servern som behörig för att utföra säkerhetskopieringar. Gör så här:

   1. Hämta tumavtrycket för certifikatet. I arkivet Certifikat dubbelklickar du på certifikatet. Välj fliken Information och rulla ned till tumavtrycket. Klicka på det, sedan markerar och kopiera du det. Klistra in tumavtrycket i Anteckningar och ta bort alla blanksteg.

   2. Navigera till mappen C:\Program\Microsoft Data Protection Manager\DPM\bin. Sedan kör du setdpmserver. Gör så här:

      setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
      

      Där ClientThumbprintWithNoSpaces kopieras från anteckningsfilen.

   3. Du bör få ett resultat som bekräftar att konfigurationen har slutförts.

6. Hämta .bin-filen och kopiera den till DPM-servern. Vi rekommenderar att du kopierar den till standardplatsen där anslutningsprocessen kollar efter filen (Windows\System32) så att du bara behöver ange filnamnet i stället för den fullständiga sökvägen när du kör Attach-kommandot.

Anslut datorn

Du ansluter datorn till DPM-servern genom att använda PowerShell-skriptet Attach-ProductionServerWithCertificate.ps1 med följande syntax.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

• -DPMServerName – Namnet på DPM-servern

• PSCredential – Namnet på .bin-filen. Om du placerade den i mappen Windows\System32 behöver du bara ange filnamnet. Var noga med att ange .bin-filen som skapades på den skyddade servern. Om du anger .bin-filen som skapades på DPM-servern tar du bort alla skyddade datorer som har konfigurerats för certifikatbaserad autentisering.

När anslutningsprocessen är färdig ska den skyddade datorn visas i DPM-konsolen.

Exempel

Exempel 1

Genererar en fil i c:\CertMetaData\ med namnet CCertificateConfiguration_<DPM-SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”

Där dpmserver.contoso.com är namnet på DPM-servern och ”cf822d9ba1c801ef40d4b31de0cfcb200a8a2496” är tumavtrycket för DPM-servercertifikatet.

Exempel 2

Genererar en förlorad konfigurationsfil på nytt i mappen c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate