Configuración de la protección con autenticación de certificados

Publicado: marzo de 2016

Se aplica a: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

Puede implementar DPM para proteger los equipos en grupos de trabajo y dominios que no son de confianza. Puede controlar la autenticación con NTLM o certificados. En este tema se describe cómo configurar la protección con autenticación de certificados.

• Cada equipo que desea proteger debe tener al menos .NET Framework 3.5 con Service Pack 1 instalado.

• El certificado que se usa para la autenticación debe cumplir las siguientes condiciones:

  • Certificado X.509 V3

  • El uso mejorado de clave (EKU) debe tener la autenticación de cliente y la autenticación de servidor.

  • La clave debe tener una longitud de 1024 bits como mínimo.

  • El tipo de clave debe ser exchange.

  • El nombre de sujeto del certificado y el certificado raíz no deben estar vacíos.

  • Los servidores de revocación de las entidades de certificación asociadas están en línea y a ellos pueden tener acceso el servidor protegido y el servidor DPM

  • El certificado debe tener una clave privada asociada

  • DPM no admite certificados con claves CNG

  • DPM no admite certificados autofirmados.

• Cada equipo que desea proteger (incluidas las máquinas virtuales) debe tener su propio certificado.

1. Crear una plantilla de certificado de DPM

2. Configurar un certificado en el servidor DPM.

3. Instalar el agente

4. Configurar un certificado en el equipo protegido

5. Conectar el equipo

Opcionalmente, puede configurar una plantilla de DPM para la inscripción web. Si desea hacerlo, seleccione una plantilla que tenga la autenticación de cliente y la autenticación de servidor como el propósito planteado. Por ejemplo:

1. En el complemento MMC Plantillas de certificado, puede seleccionar la plantilla Servidor RAS e IAS. Haga clic en ella con el botón secundario y seleccione Plantilla duplicada.

2. En Plantilla duplicada, deje la configuración predeterminada Windows Server 2003 Enterprise.

3. En la pestaña General, modifique el nombre para mostrar de la plantilla por otro fácil de reconocer. Por ejemplo, Autenticación de DPM. Asegúrese de que la configuración Publicar certificado en Active Directory está habilitada.

4. En la pestaña Tratamiento de la solicitud, asegúrese de que la opción Permitir que la clave privada se pueda exportar está habilitada.

5. Después de haber creado la plantilla, habilítela para su uso. Abra el complemento de la entidad de certificación. Haga clic con el botón derecho en Plantillas de certificado, seleccione Nueva y elija la Plantilla de certificado que se va a emitir. En Habilitar plantilla de certificado, seleccione la plantilla y haga clic en Aceptar. Ahora la plantilla estará disponible cuando obtenga un certificado.

Habilitar la inscripción o la inscripción automática

Si desea configurar la plantilla para la inscripción o la inscripción automática de manera opcional, haga clic en la pestaña Nombre de sujeto en las propiedades de plantilla. Al configurar la inscripción, la plantilla puede seleccionarse en MMC. Si configura la inscripción automática, el certificado se asigna automáticamente a todos los equipos del dominio.

• Para la inscripción, en la pestaña Nombre de sujeto de las propiedades de plantilla, habilite Seleccionar compilación a partir de esta información de Active Directory. En Formato de nombre de sujeto, seleccione Nombre común y habilite Nombre DNS. A continuación, vaya a la pestaña Seguridad y asigne el permiso Inscribir a los usuarios autenticados.

• Para la inscripción automática, vaya a la pestaña Seguridad y asigne el permiso Inscripción automática a los usuarios autenticados. Con esta opción habilitada, el certificado se asignará automáticamente a todos los equipos del dominio.

• Si ha configurado la inscripción, podrá solicitar un nuevo certificado en MMC basado en la plantilla. Para ello, en el equipo protegido, en Certificados - Equipo local > Personal, haga clic con el botón secundario en Certificados. Seleccione Todas las tareas > Solicitar un nuevo certificado. En la página Seleccionar directiva de inscripción de certificados del asistente, seleccione Directiva de inscripción de Active Directory. En Solicitar certificados, verá la plantilla. Expanda Detalles y haga clic en Propiedades. Seleccione la pestaña General y proporcione un nombre descriptivo. Después de aplicar la configuración, debería recibir un mensaje para notificarle que el certificado se ha instalado correctamente.

1. Genere un certificado de una CA para el servidor DPM a través de la inscripción web o mediante algún otro método. En la inscripción web, seleccione certificado avanzado necesario y Crear y enviar una solicitud a esta CA. Asegúrese de que el tamaño de clave es 1024 o superior y que la opción Marcar clave como exportable está seleccionada.

2. El certificado se ha colocado en el almacén de usuario. Es necesario moverlo al almacén del equipo local.

3. Para ello, exporte el certificado del almacén de usuario. Asegúrese de exportarlo con la clave privada. Puede exportarlo en el formato .pfx predeterminado. Especifique una contraseña para la exportación.

4. En Equipo local/Personal/Certificado, ejecute el Asistente para importación de certificados para que importe el archivo exportado desde la ubicación en que estaba guardado. Especifique la contraseña utilizada para exportarlo y asegúrese de que la opción Marcar esta clave como exportable está seleccionada. En la página Almacén de certificados, deje la configuración predeterminada Colocar todos los certificados en el siguiente almacén y asegúrese de que aparece Personal.

5. Después de la importación, defina las credenciales de DPM para usar el certificado; para ello, realice lo siguiente:

   1. Obtenga la huella digital del certificado. En el almacén de certificados, haga doble clic en el certificado. Seleccione la pestaña Detalles y desplácese hacia abajo hasta la huella digital. Haga clic en ella para seleccionarla y, a continuación, cópiela. Pegue la huella digital en el Bloc de notas y quite los espacios.

   2. Ejecute Set-DPMCredentials para configurar el servidor DPM:

      Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]  
      

   • -Type: indica el tipo de autenticación. Valor: certificado.

   • -Action: especifique si desea ejecutar el comando por primera vez o volver a generar las credenciales. Valores posibles: regenerar o configurar.

   • -OutputFilePath: ubicación del archivo de salida que se usa en Set-DPMServer en el equipo protegido.

   • –Thumbprint: copia del archivo de Bloc de notas.

   • -AuthCAThumbprint: huella digital de la CA en la cadena de confianza del certificado. Opcional. Si no se especifica, se usará la raíz.

6. Esto genera un archivo de metadatos (.bin) necesario en el momento de la instalación de cada agente en dominios que no son de confianza. Asegúrese de que la carpeta C:\Temp existe antes de ejecutar el comando. Tenga en cuenta que si se pierde o se elimina el archivo puede volver a crearlo; para ello, ejecute el script con la opción –action regenerate.

7. Recupere el archivo .bin y cópielo en la carpeta C:\Archivos de programa\Microsoft Data Protection Manager\DPM\bin en el equipo que desea proteger. No tiene que hacer esto, pero, si no lo hace, necesitará especificar la ruta de acceso completa del archivo para el parámetro –DPMcredential cuando...

8. Repita estos pasos en cada servidor DPM que protegerá un equipo en un grupo de trabajo o en un dominio que no es de confianza.

1. En cada equipo que desea proteger, ejecute DPMAgentInstaller_X64.exe desde el CD de instalación de DPM para instalar al agente.

1. Genere un certificado de una CA para el equipo protegido a través de la inscripción web o mediante algún otro método. En la inscripción web, seleccione certificado avanzado necesario y Crear y enviar una solicitud a esta CA. Asegúrese de que el tamaño de clave es 1024 o superior y que la opción Marcar clave como exportable está seleccionada.

2. El certificado se ha colocado en el almacén de usuario. Es necesario moverlo al almacén del equipo local.

3. Para ello, exporte el certificado del almacén de usuario. Asegúrese de exportarlo con la clave privada. Puede exportarlo en el formato .pfx predeterminado. Especifique una contraseña para la exportación.

4. En Equipo local/Personal/Certificado, ejecute el Asistente para importación de certificados para que importe el archivo exportado desde la ubicación en que estaba guardado. Especifique la contraseña utilizada para exportarlo y asegúrese de que la opción Marcar esta clave como exportable está seleccionada. En la página Almacén de certificados, deje la configuración predeterminada Colocar todos los certificados en el siguiente almacén y asegúrese de que aparece Personal.

5. Después de la importación, configure el equipo para que reconozca el servidor DPM como autorizado para realizar copias de seguridad, como se indica a continuación.

   1. Obtenga la huella digital del certificado. En el almacén de certificados, haga doble clic en el certificado. Seleccione la pestaña Detalles y desplácese hacia abajo hasta la huella digital. Haga clic en ella para seleccionarla y, a continuación, cópiela. Pegue la huella digital en el Bloc de notas y quite los espacios.

   2. Navegue hasta la carpeta C:\Archivos de programa\Microsoft Data Protection Manager\DPM\bin. Y ejecute setdpmserver como sigue:

      setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces  
      

      Donde ClientThumbprintWithNoSpaces se copia desde el archivo de Bloc de notas.

   3. Debe obtener la salida para confirmar que la configuración se ha completado correctamente.

6. Recupere el archivo .bin y cópielo en el servidor DPM. Se recomienda que lo copie en la ubicación predeterminada en la que el proceso de adjuntar buscará el archivo (Windows\System32), por lo que solo tiene que especificar el nombre de archivo en lugar de la ruta de acceso completa al ejecutar el comando Adjuntar.

Puede conectar el equipo al servidor DPM mediante el script de PowerShell Attach-ProductionServerWithCertificate.ps1, utilizando la sintaxis.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]  

• -DPMServerName: nombre del servidor DPM

• PSCredential: nombre del archivo .bin. Si lo ha colocado en la carpeta Windows\System32 puede especificar solo el nombre de archivo. Tenga la precaución de especificar el archivo .bin creado en el servidor protegido. Si se especifica el archivo .bin creado en el servidor DPM, quitará todos los equipos protegidos que están configurados para la autenticación basada en certificados.

Una vez finalizado el proceso de conexión, el equipo protegido debe aparecer en la consola de DPM.

Ejemplo 1

Genera un archivo c:\CertMetaData\ con el nombre CertificateConfiguration_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”  

Donde dpmserver.contoso.com es el nombre del servidor DPM y “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496” es la huella digital del certificado del servidor DPM.

Ejemplo 2

Regenera un archivo de configuración perdido en la carpeta c:\CertMetaData\.

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate