Einrichten des Schutzes mit zertifikatbasierter Authentifizierung

Veröffentlicht: März 2016

Gilt für: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

Sie können DPM zum Schützen von Computern in Arbeitsgruppen und nicht vertrauenswürdigen Domänen bereitstellen. Sie können die Authentifizierung mithilfe von NTLM oder Zertifikaten ausführen. In diesem Thema wird beschrieben, wie Schutz mit zertifikatbasierter Authentifizierung eingerichtet wird.

• Auf jedem zu schützenden Computer muss mindestens .NET Framework 3.5 mit SP1 installiert sein.

• Das Zertifikat, das Sie für die Authentifizierung verwenden, muss die folgenden Anforderungen erfüllen:

  • X.509 V3-Zertifikat

  • Erweiterte Schlüsselverwendung (EKU) muss zur Client- und Serverauthentifizierung gehören.

  • Die Schlüssellänge muss mindestens 1024 Bit betragen.

  • Der Schlüsseltyp muss exchange lauten.

  • Der Antragstellername des Zertifikats und des Stammzertifikats dürfen nicht leer sein.

  • Die Sperrserver der zugehörigen Zertifizierungsstellen sind online, und sowohl der geschützte Server als auch der DPM-Server können darauf zugreifen.

  • Dem Zertifikat muss ein privater Schlüssel zugeordnet sein.

  • DPM unterstützt keine Zertifikate mit CNG-Schlüsseln.

  • DPM unterstützt keine selbstsignierten Zertifikate.

• Jeder zu schützende Computer (einschließlich virtuelle Computer) muss über ein eigenes Zertifikat verfügen.

1. Erstellen einer DPM-Zertifikatvorlage

2. Konfigurieren eines Zertifikats auf dem DPM-Server.

3. Installieren des Agents

4. Konfigurieren eines Zertifikats auf dem geschützten Computer

5. Anfügen des Computers

Sie können optional eine DPM-Vorlage für die Webregistrierung einrichten. Wenn Sie dies tun möchten, wählen Sie eine Vorlage aus, die die Client- und Serverauthentifizierung als vorgesehenen Zweck hat. Beispiel:

1. Wählen Sie beispielsweise im MMC-Snap-In Zertifikatvorlagen die Vorlage RAS- und IAS-Server aus. Klicken Sie mit der rechten Maustaste darauf, und wählen Sie Doppelte Vorlage.

2. Behalten Sie in Doppelte Vorlage die Standardeinstellung Windows Server 2003 Enterprise bei.

3. Geben Sie auf der Registerkarte Allgemein dem Anzeigenamen der Vorlage eine aussagekräftige Bezeichnung. Beispiel: DPM Authentifizierung. Stellen Sie sicher, dass die Einstellung Zertifikat in Active Directory veröffentlichen aktiviert ist.

4. Stellen Sie auf der Registerkarte Anforderungsverarbeitung sicher, dass Exportieren von privatem Schlüssel zulassen aktiviert ist.

5. Stellen Sie die erstellte Vorlage zur Verfügung. Öffnen Sie das Zertifizierungsstellen-Snap-In. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, wählen Sie Neu und dann Auszustellende Zertifikatvorlage aus. Wählen Sie in Zertifikatvorlage aktivieren die Vorlage aus, und klicken Sie auf „OK“. Nun ist die Vorlage verfügbar, wenn Sie ein Zertifikat abrufen.

Aktivieren der Registrierung oder automatischen Registrierung

Wenn Sie optional die Vorlage für die Registrierung oder automatische Registrierung konfigurieren möchten, klicken Sie in den Eigenschaften der Vorlage auf die Registerkarte Antragstellername. Beim Konfigurieren der Registrierung kann die Vorlage in der MMC ausgewählt werden. Wenn Sie die automatische Registrierung konfigurieren, wird das Zertifikat automatisch allen Computer in der Domäne zugewiesen.

• Für die Registrierung aktivieren Sie in den Eigenschaften der Vorlage auf der Registerkarte Antragstellername die Option Aus diesen Informationen in Active Directory erstellen. Wählen Sie in Format des Antragstellernamens die Option Allgemeiner Name, und wählen Sie DNS-Name aus. Wechseln Sie dann zur Registerkarte „Sicherheit“, und weisen Sie authentifizierten Benutzern die Berechtigung Registrieren zu.

• Wechseln Sie für die automatische Registrierung zur Registerkarte Sicherheit, und weisen Sie authentifizierten Benutzern die Berechtigung Automatisch registrieren zu. Ist diese Einstellung aktiviert, wird das Zertifikat automatisch allen Computern in der Domäne zugewiesen.

• Wenn Sie die Registrierung konfiguriert haben, können Sie basierend auf der Vorlage ein neues Zertifikat in der MMC anfordern. Klicken Sie hierzu auf dem geschützten Computer in Zertifikate (lokaler Computer) > Persönlich mit der rechten Maustaste auf Zertifikate. Wählen Sie alle Aufgaben > Neues Zertifikat anfordern. Wählen Sie auf der Seite Zertifikatregistrierungsrichtlinie auswählen des Assistenten Active Directory-Registrierungsrichtlinie aus. In Zertifikate anfordern wird die Vorlage angezeigt. Erweitern Sie Details, und klicken Sie auf Eigenschaften. Wählen Sie die Registerkarte Allgemein aus, und geben Sie einen Anzeigenamen ein. Nach dem Anwenden der Einstellungen sollte die Meldung angezeigt werden, dass das Zertifikat erfolgreich installiert wurde.

1. Erstellen Sie über die Webregistrierung oder eine andere Methode ein Zertifikat einer Zertifizierungsstelle für den DPM-Server. Wählen Sie bei der Webregistrierung Erweiterte Zertifikatanforderung erforderlich und Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen aus. Vergewissern Sie sich, dass die Größe des Schlüssels mindestens 1024 ist und dass Schlüssel als exportierbar markieren ausgewählt ist.

2. Das Zertifikat wird im Speicher Benutzer abgelegt. Wir müssen es in den Speicher Lokaler Computer verschieben.

3. Hierzu exportieren Sie das Zertifikat aus dem Speicher Benutzer. Stellen Sie sicher, dass Sie es mit dem privaten Schlüssel exportieren. Sie können es im standardmäßigen PFX-Format exportieren. Geben Sie ein Kennwort für den Export an.

4. Führen Sie in "Lokaler Computer\Personal\Certificate" den Zertifikatimport-Assistenten aus, um die exportierte Datei aus ihrem Speicherort zu importieren. Geben Sie das Kennwort für den Export an, und vergewissern Sie sich, dass Schlüssel als exportierbar markieren ausgewählt ist. Übernehmen Sie auf der Seite „Zertifikatspeicher“ die Standardeinstellung Alle Zertifikate in folgendem Speicher speichern, und stellen Sie sicher, dass Persönlich angezeigt wird.

5. Legen nach dem Import die DPM-Anmeldeinformationen für das Zertifikat wie folgt fest:

   1. Fügen Sie den Fingerabdruck des Zertifikats hinzu. Doppelklicken Sie im Speicher Zertifikat auf das Zertifikat. Wählen Sie die Registerkarte Details aus, und wechseln Sie zum Fingerabdruck. Klicken Sie darauf, markieren und kopieren Sie ihn. Fügen Sie den Fingerabdruck in Editor ein, und entfernen Sie alle Leerzeichen.

   2. Führen Sie Set-DPMCredentials zum Konfigurieren des DPM-Servers aus:

      Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]  
      

   • -Type – Gibt den Typ der Authentifizierung an. Wert: certificate.

   • -Action – Geben Sie an, ob Sie den Befehl zum ersten Mal ausführen oder die Anmeldeinformationen neu generieren möchten. Mögliche Werte: regenerate oder configure.

   • -OutputFilePath – Speicherort der Ausgabedatei, die in "Set-DPMServer" auf dem geschützten Computer verwendet wird.

   • –Thumbprint – Aus der Editor-Datei kopieren.

   • -AuthCAThumbprint – Fingerabdruck der Zertifizierungsstelle in der Vertrauenskette des Zertifikats. (Optional) Falls nicht angegeben, wird "Root" verwendet.

6. Dies generiert eine Metadatendatei (. bin), die zum Zeitpunkt der Installation der einzelnen Agents in einer nicht vertrauenswürdigen Domäne erforderlich ist. Stellen Sie sicher, dass der Ordner "C:\Temp" vorhanden ist, bevor Sie den Befehl ausführen. Sollte diese Datei einmal verloren gehen oder gelöscht werden, können Sie sie neu erstellen, indem Sie das Skript mit der Option –action regenerate ausführen.

7. Rufen Sie die BIN-Datei ab, und kopieren Sie sie in den Ordner "C:\Program Files\Microsoft Data Protection Manager\DPM\bin" auf dem Computer, den Sie schützen möchten. Sie müssen nicht dies tun, aber wenn Sie es nicht tun, müssen Sie im Bedarfsfall den vollständigen Pfad der Datei für den Parameter "DPMcredential" angeben.

8. Wiederholen Sie diese Schritte auf jedem DPM-Server, der einen Computer in einer Arbeitsgruppe oder nicht vertrauenswürdigen Domäne schützt.

1. Führen Sie auf jedem Computer, den Sie schützen möchten, von der DPM-Installations-CD "DPMAgentInstaller_X64.exe" aus, um den Agent zu installieren.

1. Beziehen Sie von einer Zertifizierungsstelle ein Zertifikat für den geschützten Computer, entweder über die Webregistrierung oder eine andere Methode. Wählen Sie bei der Webregistrierung Erweiterte Zertifikatanforderung erforderlich und Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen aus. Vergewissern Sie sich, dass die Größe des Schlüssels mindestens 1024 ist und dass Schlüssel als exportierbar markieren ausgewählt ist.

2. Das Zertifikat wird im Speicher Benutzer abgelegt. Wir müssen es in den Speicher Lokaler Computer verschieben.

3. Hierzu exportieren Sie das Zertifikat aus dem Speicher Benutzer. Stellen Sie sicher, dass Sie es mit dem privaten Schlüssel exportieren. Sie können es im standardmäßigen PFX-Format exportieren. Geben Sie ein Kennwort für den Export an.

4. Führen Sie in "Lokaler Computer\Personal\Certificate" den Zertifikatimport-Assistenten aus, um die exportierte Datei aus ihrem Speicherort zu importieren. Geben Sie das Kennwort für den Export an, und vergewissern Sie sich, dass Schlüssel als exportierbar markieren ausgewählt ist. Übernehmen Sie auf der Seite „Zertifikatspeicher“ die Standardeinstellung Alle Zertifikate in folgendem Speicher speichern, und stellen Sie sicher, dass Persönlich angezeigt wird.

5. Konfigurieren Sie nach dem Import den Computer wie folgt so, dass der DPM-Server als autorisiert für das Durchführen von Sicherungen erkannt wird:

   1. Fügen Sie den Fingerabdruck des Zertifikats hinzu. Doppelklicken Sie im Speicher Zertifikat auf das Zertifikat. Wählen Sie die Registerkarte Details aus, und wechseln Sie zum Fingerabdruck. Klicken Sie darauf, markieren und kopieren Sie ihn. Fügen Sie den Fingerabdruck in Editor ein, und entfernen Sie alle Leerzeichen.

   2. Navigieren Sie zum Ordner "C:\Program files\Microsoft Data Protection Manager\DPM\bin". Und führen Sie setdpmserver wie folgt aus:

      setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces  
      

      "ClientThumbprintWithNoSpaces" wurde aus der Editor-Datei kopiert.

   3. Sie sollten eine Rückmeldung erhalten, die bestätigt, dass die Konfiguration erfolgreich abgeschlossen wurde.

6. Suchen Sie die BIN-Datei, und kopieren Sie sie auf den DPM-Server. Es wird empfohlen, sie an den Standardspeicherort zu kopieren, den der Prozess "Anfügen" nach der Datei ("Windows\System32" überprüft) durchsucht. Deshalb müssen Sie nur den Dateinamen angeben anstelle des vollständigen Pfads angeben, wenn Sie den Befehl "Anfügen" ausführen.

Sie fügen den DPM-Server mithilfe des PowerShell-Skripts "Attach-ProductionServerWithCertificate.ps1" und der folgenden Syntax an den Computer an.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]  

• -DPMServerName – Name des DPM-Servers

• PSCredential – Name der BIN-Datei. Wenn Sie sie im Ordner "Windows\System32" abgelegt haben, müssen Sie nur den Dateinamen angeben. Achten Sie darauf, dass Sie die auf dem geschützten Server erstellte BIN-Datei angeben. Wenn Sie die auf dem DPM-Server erstellte BIN-Datei angeben, entfernen Sie alle geschützten Computer, die für die zertifikatbasierte Authentifizierung konfiguriert sind.

Nach Abschluss des Anfügeprozesses sollte der geschützte Computer in der DPM-Verwaltungskonsole angezeigt werden.

Beispiel 1

Generiert eine Datei in "C:\CertMetaData\" mit dem Namen "CertificateConfiguration_<DPM SERVER FQDN>.bin".

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”  

"dpmserver.contoso.com" ist der Name des DPM-Servers und "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" der Fingerabdruck des DPM-Serverzertifikats.

Beispiel 2

Generiert eine verloren gegangene Konfigurationsdatei im Ordner "C:\CertMetaData\" neu.

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate