Tanúsítványalapú hitelesítéssel ellátott védelem beállítása

Közzétéve: 2016. március

Hatókör: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

Ha telepíti a DPM-et, akkor munkacsoportokban vagy nem megbízható tartományokban található számítógépeknek is védelmet biztosíthat. A hitelesítést az NTLM vagy tanúsítványok segítségével kezelheti. Ez a témakör a tanúsítványalapú hitelesítéssel ellátott védelem beállítását ismerteti.

• Minden védeni kívánt számítógépre a .NET Framework 3.5 SP1-et vagy újabb verziót kell telepíteni.

• A hitelesítéshez használt tanúsítványnak meg kell felelnie a következőknek:

  • X.509 V3 tanúsítvány

  • A kibővített kulcshasználatnak (Enhanced Key Usage, EKU) ügyfél- és kiszolgálóhitelesítéssel kell rendelkeznie.

  • A kulcs hosszának legalább 1024 bitesnek kell lennie.

  • A kulcsnak exchange típusúnak kell lennie.

  • A tanúsítvány és a főtanúsítvány tulajdonosneve nem lehet üres.

  • A társított hitelesítésszolgáltatók visszavonási kiszolgálóinak online állapotúnak és elérhetőnek kell lenniük a védett kiszolgáló és a DPM-kiszolgáló számára is.

  • A tanúsítványnak társított titkos kulccsal kell rendelkeznie.

  • A DPM nem támogatja a CNG-kulccsal rendelkező tanúsítványokat

  • A DPM nem támogatja az önaláírt tanúsítványokat.

• A védeni kívánt számítógépeknek (a virtuális gépeket is beleértve) saját tanúsítvánnyal kell rendelkezniük.

1. DPM-tanúsítványsablon létrehozása

2. Tanúsítvány konfigurálása DPM-kiszolgálón.

3. Az ügynök telepítése

4. Tanúsítvány konfigurálása a védett számítógépen

5. Számítógép csatlakoztatása

Egy DPM-sablont is beállíthat a webes igényléshez. Ehhez olyan sablont válasszon, amelynek a célja az ügyfél- és a kiszolgálóhitelesítés. Például:

1. A Tanúsítványsablonok MMC beépülő modulban kiválaszthatja az RAS- és IAS-kiszolgáló sablont. Kattintson rá a jobb gombbal, és válassza a Sablon megkettőzése elemet.

2. A Sablon megkettőzése elemnél ne módosítsa az alapértelmezett Windows Server 2003 Enterprise értéket.

3. Az Általános lapon módosítsa a sablon megjelenítési nevét egy könnyen felismerhető névre. Ilyen lehet például a DPM-hitelesítés. Győződjön meg arról, hogy A tanúsítvány közzététele az Active Directoryban beállítás engedélyezve van.

4. A Kérelmek kezelése lapon győződjön meg róla, hogy A titkos kulcs exportálható beállítás engedélyezve van.

5. Miután létrehozta a sablont, tegye elérhetővé használatra. Nyissa meg a Hitelesítésszolgáltató beépülő modult. Kattintson a jobb gombbal a Tanúsítványsablonok elemre, és válassza az Új, majd a Kiállítandó tanúsítványsablon elemet. A Tanúsítványsablon engedélyezése elemnél jelölje ki a sablont, és kattintson az OK gombra. Így a sablon elérhető lesz, amikor beszerez egy tanúsítványt.

Igénylés vagy automatikus igénylés engedélyezése

Ha úgy kívánja beállítani a sablont, hogy igényléshez vagy automatikus igényléshez is alkalmas legyen, akkor kattintson a Tulajdonos neve fülre a sablon tulajdonságainál. Az igénylés konfigurálása során a sablon kiválasztható az MMC-ben. Az automatikus igénylés beállításakor a rendszer automatikusan hozzárendeli a tanúsítványt a tartomány összes számítógépéhez.

• Az igényléshez a sablon tulajdonságainak Tulajdonos neve eleménél engedélyezze a Build kiválasztása ezen Active Directory-adatokból beállítást. A Tulajdonos nevének formátuma beállításnál válassza a Köznapi név értéket, és engedélyezze a DNS-név elemet. Ezután váltson a Biztonság lapra, és rendeljen Igénylés jogosultságot a hitelesített felhasználókhoz.

• Automatikus igénylés esetén váltson a Biztonság lapra, és rendeljen Automatikus igénylés jogosultságot a hitelesített felhasználókhoz. Ha ez a beállítás engedélyezve van, a rendszer automatikusan hozzárendeli a tanúsítványt a tartomány összes számítógépéhez.

• Ha konfigurálta az igénylést, akkor a sablon alapján új tanúsítványt igényelhet az MMC-ben. Ehhez a védett számítógép Tanúsítványok (Helyi számítógép) > Személyes eleménél kattintson a jobb gombbal a Tanúsítványok elemre. Válassza a Minden feladat > Új tanúsítvány kérése elemet. A varázsló Tanúsítványigénylési házirend kiválasztása oldalán válassza az Active Directory – igénylési házirend elemet. A Tanúsítványok kérése elemnél megjelenik a sablon. Bontsa ki a Részletek elemet, és kattintson a Tulajdonságok pontra. Kattintson az Általános fülre, és adjon meg egy kifejező nevet. A beállítások alkalmazása után kapni fog egy üzenetet, ha a tanúsítvány telepítése sikeres volt.

1. Hozzon létre tanúsítványt egy hitelesítésszolgáltatóból a DPM-kiszolgáló számára webes igényléssel vagy valamilyen más módszerrel. Webes igénylés esetén jelölje be a Speciális tanúsítvány szükséges és a Kérelem létrehozása és elküldése a hitelesítésszolgáltatónak elemeket. Győződjön meg arról, hogy a kulcs mérete legalább 1024 bit, és hogy a Kulcs megjelölése exportálhatóként beállítás ki van jelölve.

2. A rendszer a felhasználói tárolóba helyezi a tanúsítványt. Innen a helyi számítógép tárolójába kell áthelyezni.

3. Ehhez exportálja a tanúsítványt a felhasználói tárolóból. Ügyeljen arra, hogy a titkos kulccsal végzi az exportálást. A tanúsítványt exportálhatja az alapértelmezett .pfx formátumban. Adjon meg egy jelszót az exportáláshoz.

4. A Helyi számítógép\Személyes\Tanúsítvány mappában a Tanúsítványimportáló varázsló futtatásával importálja az exportált fájlt a mentett helyéről. Adja meg az exportáláshoz használt jelszót, és győződjön meg arról, hogy A kulcs megjelölése exportálhatóként beállítás ki van jelölve. A Tanúsítványtároló lapon ne módosítsa az alapértelmezett Minden tanúsítvány tárolása ebben a tárolóban beállítást, és győződjön meg arról, hogy a Személyes érték jelenik meg.

5. Az importálás után állítsa be a DPM hitelesítő adatait a tanúsítvány használatára a következőképpen:

   1. Szerezze be a tanúsítvány ujjlenyomatát. A Tanúsítványok tárolójában kattintson duplán a tanúsítványra. Válassza ki a Részletek lapot, és görgessen le az ujjlenyomatig. Kattintson rá, jelölje ki, és másolja ki. Illessze be a Jegyzettömbbe, és távolítsa el a szóközöket.

   2. Futtassa a Set-DPMCredentials parancsot a DPM-kiszolgáló konfigurálásához:

      Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]  
      

   • -Type – a hitelesítés típusát jelzi. Érték: tanúsítvány.

   • -Action – megadhatja, hogy végrehajtja-e először a parancsot, vagy inkább újra létrehozza a hitelesítő adatokat. Lehetséges értékek: regenerate vagy configure.

   • -OutputFilePath – a Set-DPMServer parancsban használt kimeneti fájl helye a védett számítógépen.

   • –Thumbprint – másolás a Jegyzettömb-fájlból.

   • -AuthCAThumbprint – a hitelesítésszolgáltató ujjlenyomata a tanúsítvány megbízhatósági láncában. Ha nincs meghatározva, a legfelső szintű lesz használatban.

6. Ez létrehoz egy metaadat-fájlt (.bin), amelyre az egyes ügynökök nem megbízható tartományokban való telepítése során van szükség. A parancs futtatása előtt győződjön meg arról, hogy a C:\Temp mappa létezik. Ha a fájl elveszett vagy törölték, akkor újra létrehozhatja, ha a parancsfájlt az –action regenerate kapcsolóval futtatja.

7. Kérje le a .bin fájlt, és másolja a védeni kívánt számítógép C:\Program Files\Microsoft Data Protection Manager\DPM\bin mappájába. Ez nem feltétlenül szükséges, de ha elmulasztja, akkor a fájl teljes elérési útját meg kell adnia a –DPMcredential paraméterhez, amikor…

8. Ismételje meg ezeket a lépéseket minden DPM-kiszolgálón, amely egy munkacsoportban vagy nem megbízható tartományban található számítógépet fog védeni.

1. Az ügynök telepítéséhez futtassa a DPM telepítő CD-n található DPMAgentInstaller_X64.exe futtatható fájlt minden egyes védeni kívánt számítógépen.

1. Hozzon létre tanúsítványt egy hitelesítésszolgáltatóból a védett számítógép számára webes igényléssel vagy valamilyen más módszerrel. Webes igénylés esetén jelölje be a Speciális tanúsítvány szükséges és a Kérelem létrehozása és elküldése a hitelesítésszolgáltatónak elemeket. Győződjön meg arról, hogy a kulcs mérete legalább 1024 bit, és hogy a Kulcs megjelölése exportálhatóként beállítás ki van jelölve.

2. A rendszer a felhasználói tárolóba helyezi a tanúsítványt. Innen a helyi számítógép tárolójába kell áthelyezni.

3. Ehhez exportálja a tanúsítványt a felhasználói tárolóból. Ügyeljen arra, hogy a titkos kulccsal végzi az exportálást. A tanúsítványt exportálhatja az alapértelmezett .pfx formátumban. Adjon meg egy jelszót az exportáláshoz.

4. A Helyi számítógép\Személyes\Tanúsítvány mappában a Tanúsítványimportáló varázsló futtatásával importálja az exportált fájlt a mentett helyéről. Adja meg az exportáláshoz használt jelszót, és győződjön meg arról, hogy A kulcs megjelölése exportálhatóként beállítás ki van jelölve. A Tanúsítványtároló lapon ne módosítsa az alapértelmezett Minden tanúsítvány tárolása ebben a tárolóban beállítást, és győződjön meg arról, hogy a Személyes érték jelenik meg.

5. Importálás után az alábbiak szerint állítsa be a számítógépet, hogy felismerje a biztonsági mentések végrehajtására jogosult DPM-kiszolgálót.

   1. Szerezze be a tanúsítvány ujjlenyomatát. A Tanúsítványok tárolójában kattintson duplán a tanúsítványra. Válassza ki a Részletek lapot, és görgessen le az ujjlenyomatig. Kattintson rá, jelölje ki, és másolja ki. Illessze be a Jegyzettömbbe, és távolítsa el a szóközöket.

   2. Nyiss meg a C:\Program files\Microsoft Data Protection anager\DPM\bin mappát. Futtassa a setdpmserver parancsot a következőképpen:

      setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces  
      

      A ClientThumbprintWithNoSpaces elemet másolja be egy Jegyzettömb-fájlból.

   3. A konfigurálás sikeres befejeződéséről értesítést kap.

6. Kérje le a .bin fájlt, és másolja a DPM-kiszolgálóra. Javasoljuk, hogy arra az alapértelmezett helyre másolja, ahol a csatolási folyamat rákeres a fájlra (Windows\System32), így a teljes elérési út helyett elég megadnia a fájlnevet az Attach parancs futtatásakor.

A számítógépet az Attach-ProductionServerWithCertificate.ps1 PowerShell-parancsfájl és a következő szintaxis használatával csatlakoztathatja a DPM-kiszolgálóhoz.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]  

• -DpmServerName – a DPM-kiszolgáló neve.

• PSCredential – a .bin fájl neve. Ha a fájlt a Windows\System32 mappában helyezte el, akkor csak a fájlnév megadása is elegendő. ügyeljen arra, hogy a védett kiszolgálón létrehozott .bin fájlt adja meg. Ha a DPM-kiszolgálón létrehozott .bin fájlt adja meg, akkor eltávolítja az összes tanúsítványalapú hitelesítéshez konfigurált védett számítógépet.

Miután a csatolási folyamat befejeződött, a védett számítógép megjelenik a DPM-konzolon.

1. példa

Létrehoz egy CertificateConfiguration_<DPM-KISZOLGÁLÓ TELJES TARTOMÁNYNEVE>.bin nevű fájlt a c:\CertMetaData\ mappában,

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”  

ahol a dpmserver.contoso.com a DPM kiszolgáló neve, a „cf822d9ba1c801ef40d4b31de0cfcb200a8a2496” pedig a DPM-kiszolgáló tanúsítványának ujjlenyomata.

2. példa

Újra létrehoz egy elveszett konfigurációs fájlt a c:\CertMetaData\ mappában.

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate