Sdílet prostřednictvím

Nastavení ochrany s ověřováním pomocí certifikátu

  • Článek

 

Rozsah platnosti: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

DPM můžete nasadit k ochraně počítačů v pracovních skupinách a nedůvěryhodných doménách. Ověřování můžete řešit pomocí protokolu NTLM nebo certifikátů. Toto téma popisuje, jak můžete nastavit ochranu pomocí ověřování certifikátu.

Než začnete

  • Každý počítač, který chcete chránit, musí mít nainstalovanou minimální verzi rozhraní .NET Framework 3.5 SP1.

  • Certifikát, který použijete pro ověřování, musí splňovat následující:

    • Certifikát X.509 V3

    • Rozšířené použití klíče (EKU) musí obsahovat ověření klienta a ověření serveru.

    • Délka klíče musí být alespoň 1 024 bitů.

    • Typ klíče musí být exchange.

    • Název subjektu certifikátu a kořenový certifikát nesmí být prázdný.

    • Servery odvolání přidružených certifikačních autorit jsou online a dostupné pro chráněný server a DPM server

    • Certifikát musí pbsahovat přidružený privátní klíč

    • DPM nepodporuje certifikáty s klíči CNG

    • DPM nepodporuje samostatně podepsané certifikáty.

  • Každý počítač, který chcete chránit (včetně virtuálních počítačů) musí obsahovat svůj vlastní certifikát.

Nastavení ochrany

  1. Vytvoření šablony certifikátu DPM

  2. Konfigurace certifikátu na serveru DPM.

  3. Instalace agenta

  4. Konfigurace certifikátu na chráněném počítači

  5. Připojit počítač

Vytvoření šablony certifikátu DPM

Volitelně můžete nastavit šablonu DPM pro webový zápis. Chcete-li to provést, vyberte šablonu, která obsahuje ověření klienta a ověření serveru jako zamýšlený účel. Například:

  1. V části konzoly MMC Šablony certifikátů modulu snap-in můžete vybrat šablonu Server RAS a IAS. Klikněte na ní pravým tlačítkem myši a vyberte možnost Duplikovat šablonu.

  2. V části Duplikovat šablonu ponechte výchozí nastavení Windows Server 2003 Enterprise.

  3. Na kartě Obecné změňte zobrazovaný název šablony na snadno rozpoznatelný. Například Ověřování DPM. Zkontrolujte, zda je povoleno nastavení Publikovat certifikát do služby Active Directory.

  4. Na kartě Vyřízení žádosti se ujistěte, že je povolena možnost Povolit export privátního klíče.

  5. Po vytvoření šablony ji dejte k dispozici pro použití. Otevřete modul snap-in certifikační autority. Klikněte pravým tlačítkem myši na možnost Šablony certifikátů, vyberte možnost Nový a pak možnost Šablona certifikátu určená k vydání. V části Povolit šablonu certifikátu vyberte šablonu a klikněte na tlačítko OK. Šablona bude nyní k dispozici při získání certifikátu.

Povolte zápis ani automatický zápis

Chcete-li volitelně konfigurovat šablonu pro zápis nebo automatický zápis, klikněte na kartu Název subjektu ve vlastnostech šablony. Při konfiguraci zápisu lze šablonu vybrat v konzole MMC. Pokud úrpvedete konfiguraci automatického zápisu, přiřadí se certifikát automaticky ke všem počítačům v doméně.

  • Pro zápis na kartě Název subjektu vlastností šablony povolte možnost Vybrat sestavení z těchto informací služby Active Directory. V části Formát názvu subjektu vyberte možnost Běžný název a povolte možnost Název DNS. Potom přejděte na kartu Zabezpečení a přiřaďte oprávnění Zápis ověřeným uživatelům.

  • K automatickému zápisu přejděte na kartu Zabezpečení a přiřaďte oprávnění Automatický zápis ověřeným uživatelům. Po povolení tohoto nastavení se certifikát automaticky přidělí všem počítačům v doméně.

  • Po provedení konfigurace zápisu budete moci na základě šablony požádat o nový certifikát v konzole MMC. Chcete-li to udělat, tak v chráněném počítači v části Certifikáty (místní počítač) > Osobní klikněte pravým tlačítkem na Certifikáty. Vyberte možnost Všechny úkoly > Požádat o nový certifikát. Na stránce Vybrat zásady zápisu certifikátů průvodce vyberte možnost Zásady zápisu služby Active Directory. V části Vyžádat certifikáty uvidíte šablonu. Rozbalte položku Podrobnosti a klikněte na tlačítko Vlastnosti. Vyberte kartu Obecné a zadejte popisný název. Po použití nastavení musíte obdržet zprávu, že byl certifikát úspěšně nainstalován.

Konfigurace certifikátu na serveru DPM

  1. Vygenerujte certifikát z certifikační autority pro server DPM prostřednictvím webového zápisu nebo jiné metody. Ve webovém zápisu vyberte možnost Požadován pokročilý certifikát a Vytvořit a odeslat žádost této certifikační autoritě. Přesvědčte se, zda má klíč velikost 1024 nebo vyšší a že je zaškrtnuta položka Označit klíč jako exportovatelný.

  2. Certifikát je umístěn v úložišti uživatele. Potřebujeme ho přesunout do úložiště v místním počítači.

  3. Chcete-li to provést, exportujte certifikát z úložiště uživatele. Nezapomeňte ho exportovat s privátním klíčem. Můžete ho exportovat ve výchozím formátu .pfx. Zadejte heslo pro export.

  4. Ve složce Local Computer\Personal\Certificate spusťte Průvodce importem certifikátu pro import exportovaného souboru z jeho uloženého umístění. Zadejte heslo, které jste použili k exportu a ujistěte se, zda je vybrána možnost Označit tento klíč jako exportovatelný. Na stránce úložiště certifikátů ponechte výchozí nastavení Umístit všechny certifikáty do následujícího úložiště a ujistěte se, že se zobrazí možnost Osobní.

  5. Po importu nastavte přihlašovací údaje DPM pro použití certifikátu následovně:

    1. Získejte kryptografický otisk pro certifikát. V úložišti Certifikáty dvakrát klikněte na certifikát. Vyberte kartu Podrobnosti a přejděte dolů na kryptografický otisk. Klikněte na něj, zvýrazněte ho a zkopírujte. Vložte kryptografický otisk do poznámkového bloku a odeberte všechny mezery.

    2. Spusťte Set-DPMCredentials pro konfiguraci serveru DPM:

      Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]

    • – Typ– určuje typ ověřování. Hodnota: Certifikát.

    • -Akce– určuje, zda chcete provést příkaz poprvé nebo regenerovat přihlašovací údaje. Možné hodnoty: regenerovat nebo konfigurovat.

    • -OutputFilePath– umístění výstupního souboru použitého v příkazu Set-DPMServer na chráněném počítači.

    • – Kryptografický otisk– kopírování ze souboru poznámkového bloku.

    • -AuthCAThumbprint– kryptografický otisk certifikační autority v řetězci certifikátu. Nepovinné. Pokud není zadán, bude použit kořenový otisk.

  6. Tak se vytvoří soubor metadat (.bin), který je požadován v době instalace každého agenta v nedůvěryhodné doméně. Před spuštěním příkazu se ujistěte, zda existuje složka C:\Temp. Všimněte si, že pokud dojde ke ztrátě nebo odstranění souboru, můžete ho znovu vytvořit spuštěním skriptu pomocí možnosti – znovu vygenerovat akce.

  7. Načtěte soubor.bin a zkopírujte ho do složky C:\Program Files\Microsoft Data Protection Manager\DPM\bin v počítači, který chcete chránit. Nemusíte to dělat, ale v takovém případě budete muset určit úplnou cestu souboru pro parametr – DPMcredential když...

  8. Tento postup opakujte na každém serveru DPM, který bude chránit počítač v pracovní skupině nebo v nedůvěryhodné doméně.

Instalace agenta

  1. V každém počítači, který chcete ochránit, spusťte soubor DPMAgentInstaller_X64.exe z instalačního disku CD a nainstalujte agenta.

Konfigurace certifikátu na chráněném počítači

  1. Vygenerujte certifikát z certifikační autority pro chráněný počítač prostřednictvím webového zápisu nebo jiné metody. Ve webovém zápisu vyberte možnost Požadován pokročilý certifikát a Vytvořit a odeslat žádost této certifikační autoritě. Přesvědčte se, zda má klíč velikost 1024 nebo vyšší a že je zaškrtnuta položka Označit klíč jako exportovatelný.

  2. Certifikát je umístěn v úložišti uživatele. Potřebujeme ho přesunout do úložiště v místním počítači.

  3. Chcete-li to provést, exportujte certifikát z úložiště uživatele. Nezapomeňte ho exportovat s privátním klíčem. Můžete ho exportovat ve výchozím formátu .pfx. Zadejte heslo pro export.

  4. Ve složce Local Computer\Personal\Certificate spusťte Průvodce importem certifikátu pro import exportovaného souboru z jeho uloženého umístění. Zadejte heslo, které jste použili k exportu a ujistěte se, zda je vybrána možnost Označit tento klíč jako exportovatelný. Na stránce úložiště certifikátů ponechte výchozí nastavení Umístit všechny certifikáty do následujícího úložiště a ujistěte se, že se zobrazí možnost Osobní.

  5. Po importu proveďte konfiguraci počítače pro rozpoznání serveru DPM jako oprávněného k provádění záloh následujícím způsobem

    1. Získejte kryptografický otisk pro certifikát. V úložišti Certifikáty dvakrát klikněte na certifikát. Vyberte kartu Podrobnosti a přejděte dolů na kryptografický otisk. Klikněte na něj, zvýrazněte ho a zkopírujte. Vložte kryptografický otisk do poznámkového bloku a odeberte všechny mezery.

    2. Přejděte do složky C:\Program files\Microsoft Data Protection Manager\DPM\bin. A spusťte setdpmserver takto:

      setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Kde ClientThumbprintWithNoSpaces je zkopírován ze souboru poznámkového bloku.

    3. Musíte získat výstup pro potvrzení, že konfigurace byla úspěšně dokončena.

  6. Načtěte soubor .bin a zkopírujte ho na server DPM. Doporučujeme ho zkopírovat do výchozího umístění, ve kterém soubor zkontroluje proces připojení (Windows\System32), takže můžete při spuštění příkazu Připojit zadat pouze název souboru místo úplné cesty.

Připojit počítač

Počítač připojte k serveru DPM pomocí skriptu PowerShell Attach-ProductionServerWithCertificate.ps1 za pomocí syntax.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName – název serveru DPM

  • PSCredential – název souboru .bin. Pokud jste ho umístili do složky Windows\System32, můžete určit pouze název souboru. Dejte pozor, abyste uršili soubor .bin vytvořený pro chráněný server. Pokud zadáte soubor .bin vytvořený na serveru DPM, odeberete všechny chráněné počítače, které jsou nakonfigurovány pro ověřování pomocí certifikátu.

Po dokončení procesu připojování se musí chráněný počítač objevit v konzole DPM.

Příklady

Příklad 1

Vygeneruje soubor ve složce c:\CertMetaData\ s názvem CertificateConfiguration_< SERVER DPM FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”

Kde dpmserver.contoso.com je název serveru DPM a „cf822d9ba1c801ef40d4b31de0cfcb200a8a2496“ je kryptografický otisk certifikátu serveru DPM.

Příklad 2

Obnoví ztracený konfigurační soubor do složky c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate