Impostare la protezione con l'autenticazione del certificato

Data di pubblicazione: marzo 2016

Si applica a: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

Puoi distribuire DPM per proteggere i computer in gruppi di lavoro e domini non trusted. Puoi gestire l'autenticazione tramite NTLM o certificati. In questo argomento viene descritto come impostare la protezione con l'autenticazione del certificato.

• In ogni computer che vuoi proteggere deve essere installato almeno .NET Framework 3.5 con SP1.

• Il certificato usato per l'autenticazione deve essere conforme ai seguenti requisiti:

  • Certificato X.509 V3

  • L'Utilizzo chiavi avanzato (EKU) deve disporre dell'autenticazione client e dell'autenticazione server.

  • La lunghezza della chiave deve essere di almeno 1024 bit.

  • Il tipo di chiave deve essere di scambio.

  • Il nome soggetto del certificato e il certificato radice non devono essere vuoti.

  • I server di revoca delle autorità di certificazione associate sono online e accessibili sia dal server protetto che dal server DPM

  • Il certificato deve disporre della chiave privata associata

  • DPM non supporta i certificati con chiavi CNG

  • DPM non supporta i certificati autofirmati.

• Ogni computer che vuoi proteggere (incluse le macchine virtuali) deve disporre del proprio certificato.

1. Creare un modello di certificato DPM

2. Configurare un certificato nel server DPM.

3. Installare l'agente

4. Configurare un certificato nel computer protetto

5. Collegare il computer

Puoi impostare facoltativamente un modello DPM per la registrazione Web. Se vuoi eseguire questa operazione, seleziona un modello con l'autenticazione client e l'autenticazione server come scopo previsto. Ad esempio:

1. Nello snap-in MMC Modelli di certificato puoi selezionare il modello Server RAS e IAS. Fai clic su di esso con il pulsante destro del mouse e seleziona Duplica modello.

2. In Duplica modello mantieni l'impostazione predefinita Windows Server 2003 Enterprise.

3. Nella scheda Generale modifica il nome visualizzato del modello in modo da renderlo riconoscibile. Ad esempio, Autenticazione DPM. Assicurati che l'impostazione Pubblica certificato in Active Directory sia abilitata.

4. Nella scheda Gestione richiesta verifica che l'impostazione Rendi la chiave privata esportabile sia abilitata.

5. Dopo aver creato il modello, rendilo disponibile per l'uso. Aprire lo snap-Autorità di certificazione. Fare clic con il pulsante destro del mouse su Modelli di certificato, selezionare Nuovo, quindi scegliere Modello di certificato da rilasciare. In Abilita modello di certificato seleziona il modello e fai clic su OK. A questo punto il modello sarà disponibile quando ottieni un certificato.

Abilitare la registrazione o la registrazione automatica

Se vuoi configurare facoltativamente il modello per la registrazione o la registrazione automatica, fai clic sulla scheda Nome soggetto nelle proprietà del modello. Quando configuri la registrazione, il modello può essere selezionato in MMC. Se configuri la registrazione automatica, il certificato viene assegnato automaticamente a tutti i computer nel dominio.

• Per la registrazione, nella scheda Nome soggetto delle proprietà del modello abilita Crea in base alle informazioni di Active Directory. In Formato del nome soggetto seleziona Nome comune e abilita Nome DNS. Passa quindi alla scheda Sicurezza e assegna l'autorizzazione Registrazione agli utenti autenticati.

• Per la registrazione automatica, passa alla scheda Sicurezza e assegna l'autorizzazione Registrazione automatica agli utenti autenticati. Con questa impostazione abilitata, il certificato verrà assegnato automaticamente a tutti i computer nel dominio.

• Se hai configurato la registrazione, potrai richiedere un nuovo certificato in MMC, in base al modello. A tale scopo, nel computer protetto, in Certificati (computer locale) > Personale, fai doppio clic su Certificati. Seleziona Tutte le attività > Richiedi nuovo certificato. Nella pagina Seleziona criteri di registrazione certificato della procedura guidata seleziona Criteri di registrazione Active Directory. In Richiedi certificati verrà visualizzato il modello. Espandi Dettagli e fai clic su Proprietà. Seleziona la scheda Generale e specifica un nome descrittivo. Dopo aver applicato le impostazioni, dovrebbe essere visualizzato un messaggio che indica che il certificato è stato installato.

1. Genera un certificato da un'autorità di certificazione per il server DPM, tramite la registrazione Web o un altro metodo. Nella registrazione Web seleziona richiesta avanzata di certificati e Creare e inviare una richiesta a questa CA. Assicurati che la dimensione della chiave sia 1024 o superiore e che l'opzione Contrassegna le chiavi come esportabili sia selezionata.

2. Il certificato viene inserito nell'archivio dell'utente. È necessario spostarlo nell'archivio del computer locale.

3. A tale scopo, esporta il certificato dall'archivio dell'utente. Assicurati di esportarlo con la chiave privata. Puoi esportarlo nel formato .pfx predefinito. Specifica una password per l'esportazione.

4. In Computer locale\Personale\Certificati esegui l'Importazione guidata certificati per importare il file esportato dal percorso in cui è stato salvato. Specifica la password usata per esportarlo e assicurati che l'opzione Contrassegna questa chiave come esportabile sia selezionata. Nella pagina Archivio certificati mantieni l'impostazione predefinita Mettere tutti i certificati nel seguente archivio e assicurati che sia visualizzato Personale.

5. Dopo l'importazione, imposta le credenziali di DPM per l'uso del certificato, come indicato di seguito:

   1. Ottieni l'identificazione personale per il certificato. Nell'archivio Certificati fai doppio clic sul certificato. Seleziona la scheda Dettagli e scorri verso il basso fino all'identificazione personale. Fai clic su di essa, evidenziala e copiala. Incolla l'identificazione personale in Blocco note e rimuovi eventuali spazi.

   2. Esegui Set-DPMCredentials per configurare il server DPM:

      Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]  
      

   • -Type - Indica il tipo di autenticazione. Valore: certificate.

   • -Action - Specifica se vuoi eseguire il comando per la prima volta o rigenerare le credenziali. Valori possibili: regenerate o configure.

   • -OutputFilePath - Percorso del file di output usato in Set-DPMServer nel computer protetto.

   • –Thumbprint - Copia dal file di Blocco note.

   • -AuthCAThumbprint - Identificazione personale dell'autorità di certificazione nella catena di certificati. Facoltativo. Se non specificato, viene usato Root.

6. Verrà generato un file di metadati (.bin), che è richiesto al momento dell'installazione di ogni agente in un dominio non trusted. Assicurati che la cartella C:\Temp sia presente prima di eseguire il comando. Tieni presente che se il file va perso o viene eliminato puoi ricrearlo eseguendo lo script con l'opzione –action regenerate.

7. Recupera il file con estensione bin e copialo nella cartella C:\Programmi\Microsoft Data Protection Manager\DPM\bin nel computer che vuoi proteggere. Non è necessario eseguire questa operazione, ma in caso contrario dovrai specificare il percorso completo del file per il parametro –DPMcredential quando...

8. Ripeti questi passaggi in ogni server DPM che proteggerà un computer in un gruppo di lavoro o un dominio non trusted.

1. In ogni computer che vuoi proteggere, esegui DPMAgentInstaller_X64.exe dal CD di installazione di DPM per installare l'agente.

1. Genera un certificato da un'autorità di certificazione per il computer protetto, tramite la registrazione Web o un altro metodo. Nella registrazione Web seleziona richiesta avanzata di certificati e Creare e inviare una richiesta a questa CA. Assicurati che la dimensione della chiave sia 1024 o superiore e che l'opzione Contrassegna le chiavi come esportabili sia selezionata.

2. Il certificato viene inserito nell'archivio dell'utente. È necessario spostarlo nell'archivio del computer locale.

3. A tale scopo, esporta il certificato dall'archivio dell'utente. Assicurati di esportarlo con la chiave privata. Puoi esportarlo nel formato .pfx predefinito. Specifica una password per l'esportazione.

4. In Computer locale\Personale\Certificati esegui l'Importazione guidata certificati per importare il file esportato dal percorso in cui è stato salvato. Specifica la password usata per esportarlo e assicurati che l'opzione Contrassegna questa chiave come esportabile sia selezionata. Nella pagina Archivio certificati mantieni l'impostazione predefinita Mettere tutti i certificati nel seguente archivio e assicurati che sia visualizzato Personale.

5. Dopo l'importazione, configura il computer in modo da riconoscere il server DPM come autorizzato per l'esecuzione di backup, come indicato di seguito

   1. Ottieni l'identificazione personale per il certificato. Nell'archivio Certificati fai doppio clic sul certificato. Seleziona la scheda Dettagli e scorri verso il basso fino all'identificazione personale. Fai clic su di essa, evidenziala e copiala. Incolla l'identificazione personale in Blocco note e rimuovi eventuali spazi.

   2. Passa alla cartella C:\Programmi\Microsoft Data Protection Manager\DPM\bin. Esegui setdpmserver come indicato di seguito:

      setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces  
      

      Dove ClientThumbprintWithNoSpaces è copiato dal file di Blocco note.

   3. L'output visualizzato dovrebbe confermare che la configurazione è stata completata.

6. Recupera il file con estensione bin e copialo nel server DPM. È consigliabile copiarlo nel percorso predefinito in cui il processo Attach verifica la presenza del file (Windows\System32), in modo da poter specificare solo il nome del file anziché il percorso completo quando esegui il comando Attach.

Puoi collegare il computer al server DPM usando lo script di PowerShell Attach-ProductionServerWithCertificate.ps1 con la seguente sintassi.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]  

• -DPMServerName - Nome del server DPM

• PSCredential - Nome del file con estensione bin. Se lo hai inserito nella cartella Windows\System32, puoi specificare solo il nome del file. Assicurati di specificare il file con estensione bin creato nel server protetto. Se specifichi il file con estensione bin creato nel server DPM, rimuoverai tutti i computer protetti configurati per l'autenticazione basata sul certificato.

Al termine del processo di collegamento, il computer protetto dovrebbe essere visualizzato nella console DPM.

Esempio 1

Genera un file in c:\CertMetaData\ con nome CertificateConfiguration_<NOME COMPLETO SERVER DPM>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”  

Dove dpmserver.contoso.com è il nome del server DPM e "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" è l'identificazione personale del certificato del server DPM.

Esempio 2

Rigenera un file di configurazione perso nella cartella c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate