Configuration d'une protection avec authentification par certificat

Date de publication : mars 2016

S’applique à : System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

Vous pouvez déployer DPM pour protéger des ordinateurs dans des groupes de travail et des domaines non approuvés. Vous pouvez gérer l'authentification à l'aide de NTLM ou de certificats. Cette rubrique décrit comment configurer la protection avec une authentification par certificat.

• Chaque ordinateur à protéger doit disposer au moins de .NET Framework 3.5 avec SP1.

• Le certificat utilisé pour l'authentification doit être conforme aux spécifications suivantes :

  • Certificat X.509 V3

  • L'utilisation avancée de la clé (EKU, Enhanced Key Usage) doit associer une authentification du client et une authentification du serveur.

  • La longueur de la clé doit être d'au moins 1 024 bits.

  • La clé doit être de type Exchange.

  • Le nom du sujet du certificat et le certificat racine ne peuvent pas être vides.

  • Les serveurs de révocation des autorités de certification associées sont en ligne et accessibles tant par le serveur protégé que par le serveur DPM.

  • Le certificat doit disposer d'une clé privée associée.

  • DPM ne prend pas en charge les certificats avec des clés CNG.

  • DPM ne prend pas en charge les certificats auto-signés.

• Chaque ordinateur que vous souhaitez protéger (y compris les ordinateurs virtuels) doit avoir son propre certificat.

1. Création d'un modèle de certificat DPM

2. Configuration d'un certificat sur le serveur DPM.

3. Installation de l'agent

4. Configuration d'un certificat sur l'ordinateur protégé

5. Attachement de l'ordinateur

Vous pouvez éventuellement configurer un modèle DPM pour l'inscription via le web. Si vous ne le souhaitez pas, sélectionnez un modèle associé à une authentification du client et du serveur. Exemple :

1. Dans le composant logiciel enfichable MMC Modèles de certificats, vous pouvez sélectionner le modèle Serveur RAS et IAS. Cliquez avec le bouton droit, puis sélectionnez Modèle dupliqué.

2. Dans Modèle dupliqué, laissez le paramètre par défaut Windows Server 2003 Enterprise Edition.

3. Sous l'onglet Général, modifiez le nom d'affichage du modèle en nom reconnaissable. Par exemple Authentification DPM. Assurez-vous que le paramètre Publier le certificat dans Active Directory est activé.

4. Sous l'onglet Gestion de la demande, vérifiez que l'option Autoriser l'exportation de la clé privée est activée.

5. Après avoir créé le modèle, rendez-le disponible. Ouvrez le composant logiciel enfichable Autorité de certification. Cliquez avec le bouton droit sur Modèles de certificats, sélectionnez Nouveau, puis choisissez Modèle de certificat à délivrer. Dans Activer un modèle de certificat, sélectionnez le modèle, puis cliquez sur OK. À présent, le modèle est disponible lorsque vous obtenez un certificat.

Activation de l'inscription ou de l'inscription automatique

Si vous souhaitez configurer le modèle pour l'inscription ou l'inscription automatique, cliquez sur l'onglet Nom du sujet dans les propriétés du modèle. Lorsque vous configurez l'inscription, le modèle peut être sélectionné dans la console MMC. Si vous configurez l'inscription automatique, le certificat est automatiquement attribué à tous les ordinateurs du domaine.

• Pour l'inscription, sous l'onglet Nom du sujet des propriétés du modèle, activez l'option Construire à partir de ces informations Active Directory. Dans Format du nom du sujet, sélectionnez Nom commun, puis activez Nom DNS. Accédez ensuite à l'onglet Sécurité, puis attribuez l'autorisation Inscription aux utilisateurs authentifiés.

• Pour l'inscription automatique, accédez à l'onglet Sécurité, puis attribuez l'autorisation Inscription automatique aux utilisateurs authentifiés. Lorsque ce paramètre est activé, le certificat est automatiquement attribué à tous les ordinateurs du domaine.

• Si vous avez configuré l'inscription, vous pouvez demander dans la console MMC un nouveau certificat basé sur le modèle. Pour ce faire, sur l'ordinateur protégé, dans Certificats (ordinateur Local) > Personnel, cliquez avec le bouton droit sur Certificats. Sélectionnez Toutes les tâches > Demander un nouveau certificat. Dans la page Sélectionner la stratégie d’inscription de certificat de l'Assistant, sélectionnez Stratégie d’inscription à Active Directory. Le modèle apparaît dans Demander des certificats. Développez Détails, puis cliquez sur Propriétés. Sélectionnez l'onglet Général, puis entrez un nom convivial. Après avoir appliqué les paramètres, vous devez recevoir un message indiquant que le certificat a été installé avec succès.

1. Générez un certificat d'une autorité de certification pour le serveur DPM, par une inscription via le web ou à l'aide d'une autre méthode. En cas d'inscription via le web, sélectionnez Certificat avancé requis, puis Créer et soumettre une demande de requête auprès de cette Autorité de certification. Assurez-vous que la taille de la clé est au moins 1 024, et que l'option Marquer les clés comme étant exportables est activée.

2. Le certificat est placé dans le magasin d'utilisateurs. Nous devons le déplacer vers le magasin de l'ordinateur local.

3. Pour ce faire, exportez le certificat à partir du magasin d'utilisateurs. Assurez-vous que vous l'exportez avec la clé privée. Vous pouvez l'exporter au format .pfx par défaut. Spécifiez un mot de passe pour l'exportation.

4. Dans Local Computer\Personal\Certificate, exécutez l'Assistant Importation de certificat pour importer le fichier exporté à partir de l'emplacement où il est enregistré. Spécifiez le mot de passe que vous avez utilisé pour l'exporter, puis assurez-vous que l'option Marquer cette clé comme exportable est activée. Dans la page Magasin de certificats, conservez le paramètre par défaut Placer tous les certificats dans le magasin suivant, puis vérifiez que l'option Personnel s'affiche.

5. Après l'importation, définissez les informations d'identification DPM pour utiliser le certificat comme suit :

   1. Obtenez l'empreinte numérique du certificat. Dans le magasin Certificats, double-cliquez sur le certificat. Sélectionnez l'onglet Détails, puis accédez à l'empreinte numérique. Cliquez dessus, mettez-la en surbrillance et copiez-la. Collez l'empreinte numérique dans le Bloc-notes en supprimant les espaces éventuelles.

   2. Exécutez Set-DPMCredentials pour configurer le serveur DPM :

      Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]  
      

   • -Type : indique le type d'authentification. Valeur : certificat.

   • -Action : spécifiez si vous souhaitez exécuter la commande pour la première fois, ou régénérer les informations d'identification. Valeurs possibles : régénérer ou configurer.

   • -OutputFilePath : emplacement du fichier de sortie utilisé dans Set-DPMServer sur l'ordinateur protégé.

   • –Thumbprint : copie du fichier du Bloc-notes.

   • -AuthCAThumbprint : empreinte numérique de l'autorité de certification dans la chaîne d'approbation du certificat. Facultatif. À défaut de spécification, la racine est utilisée.

6. Cela génère un fichier de métadonnées (.bin) requis au moment de chaque installation de l'agent dans un domaine non approuvé. Avant d'exécuter la commande, assurez-vous que le dossier C:\Temp existe. Notez que, si le fichier est perdu ou supprimé, vous pouvez le recréer en exécutant le script avec l'option –action regenerate.

7. Récupérez le fichier .bin et copiez-le dans le dossier C:\Program Files\Microsoft Data Protection Manager\DPM\bin sur l'ordinateur que vous voulez protéger. Vous n'êtes pas obligé de faire cela mais, si vous ne le faites pas, vous devez spécifier le chemin d'accès complet du fichier pour le paramètre –DPMcredential quand vous...

8. Répétez ces étapes sur chaque serveur DPM qui protège un ordinateur dans un groupe de travail ou dans un domaine non approuvé.

1. Sur chaque ordinateur que vous souhaitez protéger, exécutez DPMAgentInstaller_X64.exe à partir du CD d'installation de DPM pour installer l'agent.

1. Générez un certificat d'une autorité de certification pour le serveur protégé, à l'aide d'une inscription via le web ou d'une autre méthode. En cas d'inscription via le web, sélectionnez Certificat avancé requis, puis Créer et soumettre une demande de requête auprès de cette Autorité de certification. Assurez-vous que la taille de la clé est au moins 1 024, et que l'option Marquer les clés comme étant exportables est activée.

2. Le certificat est placé dans le magasin d'utilisateurs. Nous devons le déplacer vers le magasin de l'ordinateur local.

3. Pour ce faire, exportez le certificat à partir du magasin d'utilisateurs. Assurez-vous que vous l'exportez avec la clé privée. Vous pouvez l'exporter au format .pfx par défaut. Spécifiez un mot de passe pour l'exportation.

4. Dans Local Computer\Personal\Certificate, exécutez l'Assistant Importation de certificat pour importer le fichier exporté à partir de l'emplacement où il est enregistré. Spécifiez le mot de passe que vous avez utilisé pour l'exporter, puis assurez-vous que l'option Marquer cette clé comme exportable est activée. Dans la page Magasin de certificats, conservez le paramètre par défaut Placer tous les certificats dans le magasin suivant, puis vérifiez que l'option Personnel s'affiche.

5. Après l'importation, configurez l'ordinateur pour qu'il reconnaisse le serveur DPM comme autorisé à effectuer des sauvegardes, comme suit.

   1. Obtenez l'empreinte numérique du certificat. Dans le magasin Certificats, double-cliquez sur le certificat. Sélectionnez l'onglet Détails, puis accédez à l'empreinte numérique. Cliquez dessus, mettez-la en surbrillance et copiez-la. Collez l'empreinte numérique dans le Bloc-notes en supprimant les espaces éventuelles.

   2. Accédez au dossier C:\Program files\Microsoft Data Protection Manager\DPM\bin. Exécutez setdpmserver comme suit :

      setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces  
      

      Où ClientThumbprintWithNoSpaces est copié à partir du fichier du Bloc-notes.

   3. Vous devez obtenir une sortie confirmant que la configuration a réussi.

6. Récupérez le fichier .bin et copiez-le sur le serveur DPM. Nous vous recommandons de le copier dans l'emplacement par défaut où le processus d'attachement recherche le fichier (Windows\System32). Vous pouvez donc uniquement spécifier le nom du fichier, plutôt que le chemin d'accès complet lorsque vous exécutez la commande Attach.

Pour attacher l'ordinateur au serveur DPM à l'aide du script PowerShell Attach-ProductionServerWithCertificate.ps1, utilisez la syntaxe.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]  

• -DPMServerName : nom du serveur DPM.

• PSCredential : nom du fichier .bin. Si vous l'avez placé dans le dossier Windows\System32, vous pouvez spécifier uniquement le nom du fichier. Veillez à spécifier le fichier .bin créé sur le serveur protégé. Si vous spécifiez le fichier .bin créé sur le serveur DPM, vous allez supprimer tous les ordinateurs protégés configurés pour l'authentification basée sur les certificats.

Une fois le processus d'attachement terminé, l'ordinateur protégé doit apparaître dans la console DPM.

Exemple 1

Génère un fichier dans c:\CertMetaData\ nommé CertificateConfiguration_<FQDN SERVEUR DPM>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”  

Où dpmserver.contoso.com est le nom du serveur DPM et « cf822d9ba1c801ef40d4b31de0cfcb200a8a2496 » est l'empreinte numérique du certificat de serveur DPM.

Exemple 2

Régénère un fichier de configuration perdue dans le dossier c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate