Aracılığıyla paylaş

  • Makale

Sertifika kimlik doğrulaması ile korumayı ayarlama

 

Uygulama Alanı: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

Çalışma gruplarındaki ve güvenilir olmayan etki alanlarındaki bilgisayarları korumak için DPM dağıtabilirsiniz. NTLM veya sertifikaları kullanarak kimlik doğrulaması gerçekleştirebilirsiniz. Bu konu, sertifika kimlik doğrulaması ile korumanın nasıl ayarlanacağını açıklar.

Başlamadan önce

  • Korumak istediğiniz her bilgisayarda SP1 ile en az .NET Framework 3.5'in yüklü olması gerekir.

  • Kimlik doğrulaması için kullandığınız sertifika aşağıdakilere uygun olmalıdır:

    • X.509 V3 sertifikası

    • Gelişmiş Anahtar Kullanıcı (EKU), istemci kimlik doğrulamasıne ve sunucu kimlik doğrulamasına sahip olmalıdır.

    • Anahtar uzunluğu en az 1024 bit olmalıdır.

    • Anahtar türü exchange olmalıdır.

    • Sertifikanın ve kök sertifikanın konu adı boş olmamalıdır.

    • İlişkili Sertifika Yetkilileri'nin iptal sunucuları çevrimiçidir ve hem korumalı sunucu hem de DPM sunucusu tarafından erişilebilir durumdadır

    • Sertifika, ilişkili özel anahtara sahip olmalıdır

    • DPM, CNG Anahtarları olan sertifikaları desteklemez

    • DPM, otomatik olarak imzalanan sertifikaları desteklemez.

  • Korumak istediğiniz her bilgisayar (sanal makineler dahil) kendi sertifikasına sahip olmalıdır.

Koruma ayarlama

  1. DPM sertifikası şablonu oluşturma

  2. DPM sunucusunda bir sertifikayı yapılandırma biçimindeki telefon numarasıdır.

  3. Aracıyı yükleme

  4. Korumalı bilgisayarda sertifika yapılandırma

  5. Bilgisayar ekleme

DPM sertifikası şablonu oluşturma

Web kaydı için isteğe bağlı olarak bir DPM şablonu ayarlayabilirsiniz. Bunu yapmak istiyorsanız, hedeflenen amacı olarak İstemci Kimlik Doğrulaması'na ve Sunucu Kimlik Doğrulaması'na sahip olan bir şablon seçin. Örneğin:

  1. Sertifika Şablonları MMC ek bileşeninde, RAS ve IAS Sunucusu şablonunu seçebilirsiniz. Sağ tıklayın ve Yinelenen Şablon'u seçin.

  2. Yinelenen Şablon'da Windows Server 2003 Enterprise varsayılan ayarını aynı şekilde bırakın.

  3. Genel sekmesinde, şablon görünen adını tanınabilir bir ad ile değiştirin. Örneğin, DPM Kimlik Doğrulaması.Active Directory'de sertifika yayımla seçeneğinin etkin olduğundan emin olun.

  4. İstek İşleme sekmesinde, Özel anahtar verilebilsin seçeneğinin etkin olduğundan emin olun.

  5. Şablonu oluşturduktan sonra kullanıma sunun. Sertifika Yetkilisi ek bileşenini açın.Sertifika Şablonları'na sağ tıklayın, Yeni'yi ve ardından Verilecek Sertifika Şablonu'nu seçin.Sertifika Şablonunu Etkinleştirin bölümünde, şablonu seçin ve Tamam'ı tıklayın. Artık, bir sertifika edindiğinizde şablon kullanılabilir.

Kaydı veya otomatik kaydı etkinleştirme

Şablonu kayıt veya otomatik kayıt için isteğe bağlı olarak yapılandırmak istiyorsanız şablon özelliklerinde Konu Adı sekmesini tıklayın. Kayıt yapılandırdığınızda şablon, MMC'de seçilebilir. Otomatik kayıt yapılandırdığınızda sertifika, etki alanındaki tüm bilgisayarlara otomatik olarak atanır.

  • Kayıt için, şablon özelliklerinin Konu Adı sekmesinde Bu Active Directory bilgisinden oluştur seçeneğini etkinleştirin.Konu adı biçimi'nde, Sütun Adı'nı seçin ve DNS adı'nı etkinleştirin. Ardından Güvenlik sekmesine gidin ve kimlik doğrulaması yapılan kullanıcılara Kayıt iznini atayın.

  • Otomatik kayıt için, Güvenlik sekmesine gidin ve kimlik doğrulaması yapılan kullanıcılara Otomatik kayıt iznini atayın. Bu ayar etkin olduğunda sertifika, etki alanındaki tüm bilgisayarlara otomatik olarak atanır.

  • Kayıt yapılandırdıysanız MMC'de şablona bağlı olarak yeni bir sertifika isteyebilirsiniz. Bunu yapmak için korumalı bilgisayardaki Sertifikalar (Yerel Bilgisayar) > Kişisel menüsünde Sertifikalar’a sağ tıklayın.Tüm Görevler > Yeni Sertifika İste'yi seçin. Sihirbazın Sertifika Kayıt İlkesini Seç sayfasında Active Directory Kayıt İlkesi'ni seçin.Sertifikaları İste bölümünde şablonu görürsünüz.Ayrıntılar'ı genişletin ve Özellikler'i tıklayın.Genel sekmesini seçin ve kolay bir ad sağlayın. Ayarları uyguladıktan sonra sertifikanın başarıyla yüklendiğine ilişkin bir ileti almanız gerekir.

DPM sunucusunda bir sertifikayı yapılandırma

  1. CA'dan DPM sunucusu için web kaydı veya diğer bir yöntem aracılığıyla sertifika oluşturun. Web kaydında, gereken gelişmiş sertifikayı seçin ve Bu CA için bir istek oluşturun ve gönderin seçeneğini belirleyin. Anahtar boyutunun 1024 veya daha yüksek olduğundan ve Anahtarı verilebilir olarak işaretle seçeneğinin belirlendiğinden emin olun.

  2. Sertifika, Kullanıcı deposuna yerleştirilir. Onu Yerel Bilgisayar deposuna taşımamız gerekir.

  3. Bunu yapmak için sertifikayı Kullanıcı deposundan dışarı aktarın. Onu özel anahtarla dışarı aktardığınızdan emin olun. Onu varsayılan .pfx biçiminde dışarı aktarabilirsiniz. Dışarı aktarma için parola belirtin.

  4. Yerel Bilgisayar\Kişisel\Sertifika içinde dışarı aktarılan dosyayı kaydedilmiş konumundan içeri aktarmak için Sertifika Alma Sihirbazı'nı çalıştırın. Dışarı aktarmak için kullandığınız parolayı belirtin ve Bu anahtarı verilebilir olarak işaretle seçeneğinin belirlendiğinden emin olun. Sertifika Depolama Alanı sayfasında Tüm sertifikaları aşağıdaki depolama alanına yerleştir varsayılan ayarını aynı şekilde bırakın ve Kişisel ifadesinin görüntülendiğinden emin olun.

  5. İçeri aktarma işleminden sonra sertifikayı kullanmak için DPM kimlik bilgilerini aşağıdaki şekilde ayarlayın:

    1. Sertifika için parmak izini edinin.Sertifikalar depolama alanında, sertifikayı çift tıklayın.Ayrıntılar sekmesini seçin ve parmak izine kaydırın. Onu tıklayın, vurgulayın ve kopyalayın. Parmak izini Not Defteri'ne yapıştırın ve boşlukları kaldırın.

    2. Set-DPMCredentials sunucusunu yapılandırmak için DPM öğesini çalıştırın:

      Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]

    • -Type—Kimlik doğrulama türünü belirtir. Değer: sertifika.

    • -Action—Başlangıç için komutu çalıştırmak isteyip istemediğinizi belirtin veya kimlik bilgilerini yeniden oluşturun. Olası değerler: yeniden oluştur veya yapılandır.

    • -OutputFilePath— Korunan bilgisayarda Set-DPMServer üzerinde kullanılan çıkış dosyasının konumu.

    • –Thumbprint—Not Defteri dosyasından kopya.

    • -AuthCAThumbprint—Sertifikanın güven zincirinde CA'nın parmak izi. İsteğe bağlı. Belirtilmezse, kök kullanılacaktır.

  6. Bu, güvenilir olmayan etki alanındaki her aracı yüklemesinde gereken bir meta veri dosyası (.bin) oluşturur. Komutu çalıştırmadan önce C:\Temp klasörünün mevcut olduğundan emin olun. Dosyanın kaybolması veya silinmesi durumunda –action regenerate seçeneğiyle komut dosyasını çalıştırarak onu yeniden oluşturabileceğinizi unutmayın.

  7. .bin dosyasını alın ve korumak istediğiniz bilgisayardaki C:\Program Files\Microsoft Data Protection Manager\DPM\bin klasörüne kopyalayın. Bunu yapmanız zorunlu değildir ancak yapmadığınız takdirde, aşağıdaki işlemleri gerçekleştirdiğinizde –DPMcredential parametresi için dosyanın tam yolunu belirtmeniz gerekir…

  8. Bir çalışma grubundaki veya güvenilir olmayan bir etki alanındaki bilgisayarı koruyacak olan her DPM sunucusu için bu adımları tekrarlayın.

Aracıyı yükleme

  1. Korumak istediğiniz her bilgisayarda, aracıyı yüklemek için DPM yükleme CD'sinden DPMAgentInstaller_X64.exe'yi çalıştırın.

Korumalı bilgisayarda sertifika yapılandırma

  1. Korumalı bilgisayar için bir CA'dan, web kaydı veya diğer bir yöntem aracılığıyla bir sertifika oluşturun. Web kaydında, gereken gelişmiş sertifikayı seçin ve Bu CA için bir istek oluşturun ve gönderin seçeneğini belirleyin. Anahtar boyutunun 1024 veya daha yüksek olduğundan ve Anahtarı verilebilir olarak işaretle seçeneğinin belirlendiğinden emin olun.

  2. Sertifika, Kullanıcı deposuna yerleştirilir. Onu Yerel Bilgisayar deposuna taşımamız gerekir.

  3. Bunu yapmak için sertifikayı Kullanıcı deposundan dışarı aktarın. Onu özel anahtarla dışarı aktardığınızdan emin olun. Onu varsayılan .pfx biçiminde dışarı aktarabilirsiniz. Dışarı aktarma için parola belirtin.

  4. Yerel Bilgisayar\Kişisel\Sertifika içinde dışarı aktarılan dosyayı kaydedilmiş konumundan içeri aktarmak için Sertifika Alma Sihirbazı'nı çalıştırın. Dışarı aktarmak için kullandığınız parolayı belirtin ve Bu anahtarı verilebilir olarak işaretle seçeneğinin belirlendiğinden emin olun. Sertifika Depolama Alanı sayfasında Tüm sertifikaları aşağıdaki depolama alanına yerleştir varsayılan ayarını aynı şekilde bırakın ve Kişisel ifadesinin görüntülendiğinden emin olun.

  5. İçeri aktarma işleminden sonra bilgisayarı aşağıdaki gibi yedekleme gerçekleştirmek için yetkili olarak DPM'yi tanıyacak şekilde yapılandırın

    1. Sertifika için parmak izini edinin.Sertifikalar depolama alanında, sertifikayı çift tıklayın.Ayrıntılar sekmesini seçin ve parmak izine kaydırın. Onu tıklayın, vurgulayın ve kopyalayın. Parmak izini Not Defteri'ne yapıştırın ve boşlukları kaldırın.

    2. C:\Program files\Microsoft Data Protection Manager\DPM\bin klasörüne gidin. Ardından aşağıdaki gibi setdpmserver öğesini çalıştırın:

      setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      BoşlukOlmadanİstemciParmakİzi'nin Not Defteri dosyasından kopyalandığı yer.

    3. Yapılandırmanın başarıyla tamamlandığını onaylayan bir çıkış almanız gerekir.

  6. .bin dosyasını alın ve DPM sunucusuna kopyalayın. Onu, Attach işleminin, dosyayı kontrol edeceği varsayılan bir konuma (Windows\System32) kopyalamanızı öneririz; böylece, Attach komutunu çalıştırdığınızda tam yol yerine yalnızca dosya adını belirtebilirsiniz.

Bilgisayar ekleme

Attach-ProductionServerWithCertificate.ps1 PowerShell komut dosyasını kullanarak bilgisayarı DPM sunucusuna aşağıdaki sözdizimiyle ekleyebilirsiniz.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMSunucuAdı—DPM sunucusunun adı

  • PSKimlikBilgileri—.bin dosyasının adı. Onu Windows\System32 klasörüne eklediyseniz yalnızca dosya adını belirtebilirsiniz. Korumalı sunucuda oluşturulan .bin dosyasının belirtilmesi konusunda dikkatli olun. DPM sunucusunda oluşturulan .bin dosyasını belirtiyorsanız sertifika tabanlı kimlik doğrulaması için yapılandırılan tüm korumalı bilgisayarları kaldırırsınız.

Ekleme işlemi tamamlandıktan sonra korumalı bilgisayar, DPM konsolunda görünecektir.

Örnekler

Örnek 1

c:\CertMetaData\ dizininde CertificateConfiguration_<DPM SERVER FQDN>.bin adlı bir dosya oluşturur

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”

dpmserver.contoso.com DPM sunucusunun adıdır ve “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”, DPM sunucu sertifikasının parmak izidir.

Örnek 2

c:\CertMetaData\ klasöründe kayıp bir yapılandırma dosyasını yeniden oluşturur

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate