Megosztás a következőn keresztül:

  • Cikk

Tanúsítványalapú hitelesítéssel ellátott védelem beállítása

 

Közzétéve: 2016. március

Hatókör: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

Ha telepíti a DPM-et, akkor munkacsoportokban vagy nem megbízható tartományokban található számítógépeknek is védelmet biztosíthat. A hitelesítést az NTLM vagy tanúsítványok segítségével kezelheti. Ez a témakör a tanúsítványalapú hitelesítéssel ellátott védelem beállítását ismerteti.

Előkészületek

  • Minden védeni kívánt számítógépre a .NET Framework 3.5 SP1-et vagy újabb verziót kell telepíteni.

  • A hitelesítéshez használt tanúsítványnak meg kell felelnie a következőknek:

    • X.509 V3 tanúsítvány

    • A kibővített kulcshasználatnak (Enhanced Key Usage, EKU) ügyfél- és kiszolgálóhitelesítéssel kell rendelkeznie.

    • A kulcs hosszának legalább 1024 bitesnek kell lennie.

    • A kulcsnak exchange típusúnak kell lennie.

    • A tanúsítvány és a főtanúsítvány tulajdonosneve nem lehet üres.

    • A társított hitelesítésszolgáltatók visszavonási kiszolgálóinak online állapotúnak és elérhetőnek kell lenniük a védett kiszolgáló és a DPM-kiszolgáló számára is.

    • A tanúsítványnak társított titkos kulccsal kell rendelkeznie.

    • A DPM nem támogatja a CNG-kulccsal rendelkező tanúsítványokat

    • A DPM nem támogatja az önaláírt tanúsítványokat.

  • A védeni kívánt számítógépeknek (a virtuális gépeket is beleértve) saját tanúsítvánnyal kell rendelkezniük.

Védelem beállítása

  1. DPM-tanúsítványsablon létrehozása

  2. Tanúsítvány konfigurálása DPM-kiszolgálón.

  3. Az ügynök telepítése

  4. Tanúsítvány konfigurálása a védett számítógépen

  5. Számítógép csatlakoztatása

DPM-tanúsítványsablon létrehozása

Egy DPM-sablont is beállíthat a webes igényléshez. Ehhez olyan sablont válasszon, amelynek a célja az ügyfél- és a kiszolgálóhitelesítés. Például:

  1. A Tanúsítványsablonok MMC beépülő modulban kiválaszthatja az RAS- és IAS-kiszolgáló sablont. Kattintson rá a jobb gombbal, és válassza a Sablon megkettőzése elemet.

  2. A Sablon megkettőzése elemnél ne módosítsa az alapértelmezett Windows Server 2003 Enterprise értéket.

  3. Az Általános lapon módosítsa a sablon megjelenítési nevét egy könnyen felismerhető névre. Ilyen lehet például a DPM-hitelesítés. Győződjön meg arról, hogy A tanúsítvány közzététele az Active Directoryban beállítás engedélyezve van.

  4. A Kérelmek kezelése lapon győződjön meg róla, hogy A titkos kulcs exportálható beállítás engedélyezve van.

  5. Miután létrehozta a sablont, tegye elérhetővé használatra. Nyissa meg a Hitelesítésszolgáltató beépülő modult. Kattintson a jobb gombbal a Tanúsítványsablonok elemre, és válassza az Új, majd a Kiállítandó tanúsítványsablon elemet. A Tanúsítványsablon engedélyezése elemnél jelölje ki a sablont, és kattintson az OK gombra. Így a sablon elérhető lesz, amikor beszerez egy tanúsítványt.

Igénylés vagy automatikus igénylés engedélyezése

Ha úgy kívánja beállítani a sablont, hogy igényléshez vagy automatikus igényléshez is alkalmas legyen, akkor kattintson a Tulajdonos neve fülre a sablon tulajdonságainál. Az igénylés konfigurálása során a sablon kiválasztható az MMC-ben. Az automatikus igénylés beállításakor a rendszer automatikusan hozzárendeli a tanúsítványt a tartomány összes számítógépéhez.

  • Az igényléshez a sablon tulajdonságainak Tulajdonos neve eleménél engedélyezze a Build kiválasztása ezen Active Directory-adatokból beállítást. A Tulajdonos nevének formátuma beállításnál válassza a Köznapi név értéket, és engedélyezze a DNS-név elemet. Ezután váltson a Biztonság lapra, és rendeljen Igénylés jogosultságot a hitelesített felhasználókhoz.

  • Automatikus igénylés esetén váltson a Biztonság lapra, és rendeljen Automatikus igénylés jogosultságot a hitelesített felhasználókhoz. Ha ez a beállítás engedélyezve van, a rendszer automatikusan hozzárendeli a tanúsítványt a tartomány összes számítógépéhez.

  • Ha konfigurálta az igénylést, akkor a sablon alapján új tanúsítványt igényelhet az MMC-ben. Ehhez a védett számítógép Tanúsítványok (Helyi számítógép) > Személyes eleménél kattintson a jobb gombbal a Tanúsítványok elemre. Válassza a Minden feladat > Új tanúsítvány kérése elemet. A varázsló Tanúsítványigénylési házirend kiválasztása oldalán válassza az Active Directory – igénylési házirend elemet. A Tanúsítványok kérése elemnél megjelenik a sablon. Bontsa ki a Részletek elemet, és kattintson a Tulajdonságok pontra. Kattintson az Általános fülre, és adjon meg egy kifejező nevet. A beállítások alkalmazása után kapni fog egy üzenetet, ha a tanúsítvány telepítése sikeres volt.

Tanúsítvány konfigurálása DPM-kiszolgálón

  1. Hozzon létre tanúsítványt egy hitelesítésszolgáltatóból a DPM-kiszolgáló számára webes igényléssel vagy valamilyen más módszerrel. Webes igénylés esetén jelölje be a Speciális tanúsítvány szükséges és a Kérelem létrehozása és elküldése a hitelesítésszolgáltatónak elemeket. Győződjön meg arról, hogy a kulcs mérete legalább 1024 bit, és hogy a Kulcs megjelölése exportálhatóként beállítás ki van jelölve.

  2. A rendszer a felhasználói tárolóba helyezi a tanúsítványt. Innen a helyi számítógép tárolójába kell áthelyezni.

  3. Ehhez exportálja a tanúsítványt a felhasználói tárolóból. Ügyeljen arra, hogy a titkos kulccsal végzi az exportálást. A tanúsítványt exportálhatja az alapértelmezett .pfx formátumban. Adjon meg egy jelszót az exportáláshoz.

  4. A Helyi számítógép\Személyes\Tanúsítvány mappában a Tanúsítványimportáló varázsló futtatásával importálja az exportált fájlt a mentett helyéről. Adja meg az exportáláshoz használt jelszót, és győződjön meg arról, hogy A kulcs megjelölése exportálhatóként beállítás ki van jelölve. A Tanúsítványtároló lapon ne módosítsa az alapértelmezett Minden tanúsítvány tárolása ebben a tárolóban beállítást, és győződjön meg arról, hogy a Személyes érték jelenik meg.

  5. Az importálás után állítsa be a DPM hitelesítő adatait a tanúsítvány használatára a következőképpen:

    1. Szerezze be a tanúsítvány ujjlenyomatát. A Tanúsítványok tárolójában kattintson duplán a tanúsítványra. Válassza ki a Részletek lapot, és görgessen le az ujjlenyomatig. Kattintson rá, jelölje ki, és másolja ki. Illessze be a Jegyzettömbbe, és távolítsa el a szóközöket.

    2. Futtassa a Set-DPMCredentials parancsot a DPM-kiszolgáló konfigurálásához:

      Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]

    • -Type – a hitelesítés típusát jelzi. Érték: tanúsítvány.

    • -Action – megadhatja, hogy végrehajtja-e először a parancsot, vagy inkább újra létrehozza a hitelesítő adatokat. Lehetséges értékek: regenerate vagy configure.

    • -OutputFilePath – a Set-DPMServer parancsban használt kimeneti fájl helye a védett számítógépen.

    • –Thumbprint – másolás a Jegyzettömb-fájlból.

    • -AuthCAThumbprint – a hitelesítésszolgáltató ujjlenyomata a tanúsítvány megbízhatósági láncában. Ha nincs meghatározva, a legfelső szintű lesz használatban.

  6. Ez létrehoz egy metaadat-fájlt (.bin), amelyre az egyes ügynökök nem megbízható tartományokban való telepítése során van szükség. A parancs futtatása előtt győződjön meg arról, hogy a C:\Temp mappa létezik. Ha a fájl elveszett vagy törölték, akkor újra létrehozhatja, ha a parancsfájlt az –action regenerate kapcsolóval futtatja.

  7. Kérje le a .bin fájlt, és másolja a védeni kívánt számítógép C:\Program Files\Microsoft Data Protection Manager\DPM\bin mappájába. Ez nem feltétlenül szükséges, de ha elmulasztja, akkor a fájl teljes elérési útját meg kell adnia a –DPMcredential paraméterhez, amikor…

  8. Ismételje meg ezeket a lépéseket minden DPM-kiszolgálón, amely egy munkacsoportban vagy nem megbízható tartományban található számítógépet fog védeni.

Az ügynök telepítése

  1. Az ügynök telepítéséhez futtassa a DPM telepítő CD-n található DPMAgentInstaller_X64.exe futtatható fájlt minden egyes védeni kívánt számítógépen.

Tanúsítvány konfigurálása a védett számítógépen

  1. Hozzon létre tanúsítványt egy hitelesítésszolgáltatóból a védett számítógép számára webes igényléssel vagy valamilyen más módszerrel. Webes igénylés esetén jelölje be a Speciális tanúsítvány szükséges és a Kérelem létrehozása és elküldése a hitelesítésszolgáltatónak elemeket. Győződjön meg arról, hogy a kulcs mérete legalább 1024 bit, és hogy a Kulcs megjelölése exportálhatóként beállítás ki van jelölve.

  2. A rendszer a felhasználói tárolóba helyezi a tanúsítványt. Innen a helyi számítógép tárolójába kell áthelyezni.

  3. Ehhez exportálja a tanúsítványt a felhasználói tárolóból. Ügyeljen arra, hogy a titkos kulccsal végzi az exportálást. A tanúsítványt exportálhatja az alapértelmezett .pfx formátumban. Adjon meg egy jelszót az exportáláshoz.

  4. A Helyi számítógép\Személyes\Tanúsítvány mappában a Tanúsítványimportáló varázsló futtatásával importálja az exportált fájlt a mentett helyéről. Adja meg az exportáláshoz használt jelszót, és győződjön meg arról, hogy A kulcs megjelölése exportálhatóként beállítás ki van jelölve. A Tanúsítványtároló lapon ne módosítsa az alapértelmezett Minden tanúsítvány tárolása ebben a tárolóban beállítást, és győződjön meg arról, hogy a Személyes érték jelenik meg.

  5. Importálás után az alábbiak szerint állítsa be a számítógépet, hogy felismerje a biztonsági mentések végrehajtására jogosult DPM-kiszolgálót.

    1. Szerezze be a tanúsítvány ujjlenyomatát. A Tanúsítványok tárolójában kattintson duplán a tanúsítványra. Válassza ki a Részletek lapot, és görgessen le az ujjlenyomatig. Kattintson rá, jelölje ki, és másolja ki. Illessze be a Jegyzettömbbe, és távolítsa el a szóközöket.

    2. Nyiss meg a C:\Program files\Microsoft Data Protection anager\DPM\bin mappát. Futtassa a setdpmserver parancsot a következőképpen:

      setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      A ClientThumbprintWithNoSpaces elemet másolja be egy Jegyzettömb-fájlból.

    3. A konfigurálás sikeres befejeződéséről értesítést kap.

  6. Kérje le a .bin fájlt, és másolja a DPM-kiszolgálóra. Javasoljuk, hogy arra az alapértelmezett helyre másolja, ahol a csatolási folyamat rákeres a fájlra (Windows\System32), így a teljes elérési út helyett elég megadnia a fájlnevet az Attach parancs futtatásakor.

Számítógép csatlakoztatása

A számítógépet az Attach-ProductionServerWithCertificate.ps1 PowerShell-parancsfájl és a következő szintaxis használatával csatlakoztathatja a DPM-kiszolgálóhoz.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DpmServerName – a DPM-kiszolgáló neve.

  • PSCredential – a .bin fájl neve. Ha a fájlt a Windows\System32 mappában helyezte el, akkor csak a fájlnév megadása is elegendő. ügyeljen arra, hogy a védett kiszolgálón létrehozott .bin fájlt adja meg. Ha a DPM-kiszolgálón létrehozott .bin fájlt adja meg, akkor eltávolítja az összes tanúsítványalapú hitelesítéshez konfigurált védett számítógépet.

Miután a csatolási folyamat befejeződött, a védett számítógép megjelenik a DPM-konzolon.

Példák

1. példa

Létrehoz egy CertificateConfiguration_<DPM-KISZOLGÁLÓ TELJES TARTOMÁNYNEVE>.bin nevű fájlt a c:\CertMetaData\ mappában,

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”

ahol a dpmserver.contoso.com a DPM kiszolgáló neve, a „cf822d9ba1c801ef40d4b31de0cfcb200a8a2496” pedig a DPM-kiszolgáló tanúsítványának ujjlenyomata.

2. példa

Újra létrehoz egy elveszett konfigurációs fájlt a c:\CertMetaData\ mappában.

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate