共用方式為

  • 發行項

設定具有憑證驗證的保護

 

發行︰ 2016年3月

適用於: System Center 2012 SP1 - Data Protection Manager、System Center 2012 - Data Protection Manager、System Center 2012 R2 Data Protection Manager

您可以部署 DPM 來保護工作群組和不受信任的網域中的電腦。 您可以使用 NTLM 或憑證來處理驗證。 本主題說明如何設定採用憑證驗證的保護。

開始之前

  • 您要保護的每一部電腦至少應該已安裝 .NET Framework 3.5 (含 SP1)。

  • 您用於驗證的憑證必須符合下列各項:

    • X.509 V3 憑證

    • 增強金鑰使用方法 (EKU) 應該具有用戶端驗證和伺服器驗證。

    • 金鑰長度至少應為 1024 位元。

    • 金鑰類型應該是 exchange

    • 憑證和根憑證的主體名稱不能空白。

    • 相關憑證授權單位的撤銷伺服器會上線並可由受保護的伺服器和 DPM 伺服器存取

    • 憑證應該有相關聯的私密金鑰

    • DPM 不支援具有 CNG 金鑰的憑證

    • DPM 不支援自我簽署的憑證。

  • 您要保護的每部電腦 (包括虛擬機器) 都必須有自己的憑證。

設定保護

  1. 建立 DPM 憑證範本

  2. 在 DPM 伺服器上設定憑證。

  3. 安裝代理程式

  4. 在受保護的電腦上設定憑證

  5. 連接電腦

建立 DPM 憑證範本

您可以選擇性地設定網頁註冊的 DPM 範本。 如果想要執行這項操作,請選取以用戶端驗證和伺服器驗證做為其預定用途的範本。 例如:

  1. [憑證範本] MMC 嵌入式管理單元中,您可以選取 [RAS 及 IAS 伺服器] 範本。 以滑鼠右鍵按一下它,然後選取 [複製範本]

  2. [複製範本] 中,保留預設設定 [Windows Server 2003 Enterprise]

  3. [一般] 索引標籤中,將範本顯示名稱變更為可辨識的項目。 例如 DPM 驗證。 請確定已啟用 **[將憑證發佈到 Active Directory]**設定。

  4. [處理要求] 索引標籤中,請確定已啟用 [允許匯出私密金鑰]

  5. 在您建立範本後,使其可供使用。 開啟 [憑證授權單位] 嵌入式管理單元。 以滑鼠右鍵按一下 [憑證範本],選取 [新增],然後選擇 [要發出的憑證範本]。 在 [啟用憑證範本] 中選取範本,然後按一下 [確定]。 範本現在將可在您取得憑證時使用。

啟用註冊或自動註冊

如果您想要選擇性地設定註冊或自動註冊的範本,請按一下範本屬性中的 [主體名稱] 索引標籤。 當您設定註冊時,可以在 MMC 中選取範本。 如果您設定自動註冊,憑證就會自動指派給網域中的所有電腦。

  • 針對註冊,在範本屬性的 [主體名稱]] 索引標籤中,啟用 [從此 Active Directory 資訊中選取組建]。 在 [主體名稱格式] 中選取 [一般名稱] 並啟用 [DNS 名稱]。 然後移至 [安全性] 索引標籤,並指派 [註冊] 權限給經過驗證的使用者。

  • 對於自動註冊,請移至 [安全性] 索引標籤,並指派 [自動註冊] 權限給經過驗證的使用者。 啟用此設定後,憑證會自動指派給網域中的所有電腦。

  • 如果您已設定註冊,您就能夠根據範本在 MMC 中要求新的憑證。 若要這麼做,請在受保護電腦的 [憑證 (本機電腦)] > [個人] 中,以滑鼠右鍵按一下 [憑證]。 選取 [所有工作] > [要求新憑證]。 在精靈的 [選取憑證註冊原則] 頁面中選取 [Active Directory 註冊原則]。 在 [要求憑證] 中,您會看到範本。 展開 [詳細資料],然後按一下 [屬性]。 選取 [一般] 索引標籤並提供好記的名稱。 套用設定之後,您應會收到表示已成功安裝憑證的訊息。

在 DPM 伺服器上設定憑證

  1. 透過網頁註冊或透過其他方法,從 CA 產生 DPM 伺服器的憑證。 在網頁註冊中,選取 [需要進階憑證][向這個 CA 建立並提交一個要求]。 請確定金鑰大小為 1024 或更大,而且已選取 [將金鑰標示成可匯出]

  2. 憑證會放在使用者存放區中。 我們需要將它移到本機電腦存放區。

  3. 若要執行這個動作,請從使用者存放區匯出憑證。 確定將它與私密金鑰一起匯出。 您可以使用預設 .pfx 格式將它匯出。 指定匯出的密碼。

  4. 在 Local Computer\Personal\Certificate 中執行 [憑證匯入精靈],以從儲存的位置匯入已匯出的檔案。 指定您用來匯出檔案的密碼,並確定已選取 [將這個金鑰標示成可匯出]。 在 [憑證存放區] 頁面上,保留預設設定 [將所有憑證放入以下的存放區],並確定已顯示 [個人]

  5. 匯入之後,請將 DPM 認證設定為使用此憑證,如下所示:

    1. 取得憑證的指紋。 在 [憑證] 存放區中按兩下此憑證。 選取 [詳細資料]] 索引標籤並向下捲動到指紋。 按一下指紋、反白顯示並加以複製。 將指紋貼入 [記事本] 中並移除任何空格。

    2. 執行 Set-DPMCredentials 以設定 DPM 伺服器:

      Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]

    • -Type — 表示驗證類型。 值:憑證

    • -Action— 指定您是否要第一次執行命令,或重新產生認證。 可能值:regenerateconfigure

    • OutputFilePath— 受保護的電腦上用於 Set-DPMServer 的輸出檔位置。

    • –Thumbprint — 從 [記事本] 檔案複製。

    • -AuthCAThumbprint — 憑證信任鏈結中 CA 的指紋。 選擇性。 若未指定,將會使用 Root。

  6. 這會產生中繼資料檔案 (.bin),而每次在不受信任的網域中安裝每個代理程式時都需要此檔案。 執行命令前,請先確定 C:\Temp 資料夾存在。 請注意,如果此檔案遺失或遭到刪除,您可以利用 –action regenerate 選項執行指令碼,以重新建立該檔案。

  7. 擷取 .bin 檔案,並將它複製到您要保護之電腦上的 C:\Program Files\Microsoft Data Protection Manager\DPM\bin 資料夾。 您不一定要這麼做,但若未這麼做,您需要指定 –DPMcredential 參數的檔案完整路徑。

  8. 在將要保護工作群組中或不受信任網域中的電腦的每部 DPM 伺服器上重複這些步驟。

安裝代理程式

  1. 在您要保護的每部電腦上,執行 DPM 安裝光碟片中的 DPMAgentInstaller_X64.exe 以安裝代理程式。

在受保護的電腦上設定憑證

  1. 透過網頁註冊或透過其他方法,從 CA 產生受保護伺服器的憑證。 在網頁註冊中,選取 [需要進階憑證][向這個 CA 建立並提交一個要求]。 請確定金鑰大小為 1024 或更大,而且已選取 [將金鑰標示成可匯出]

  2. 憑證會放在使用者存放區中。 我們需要將它移到本機電腦存放區。

  3. 若要執行這個動作,請從使用者存放區匯出憑證。 確定將它與私密金鑰一起匯出。 您可以使用預設 .pfx 格式將它匯出。 指定匯出的密碼。

  4. 在 Local Computer\Personal\Certificate 中執行 [憑證匯入精靈],以從儲存的位置匯入已匯出的檔案。 指定您用來匯出檔案的密碼,並確定已選取 [將這個金鑰標示成可匯出]。 在 [憑證存放區] 頁面上,保留預設設定 [將所有憑證放入以下的存放區],並確定已顯示 [個人]

  5. 匯入之後,設定電腦,將 DPM 伺服器視為獲得授權執行備份,如下所示。

    1. 取得憑證的指紋。 在 [憑證] 存放區中按兩下此憑證。 選取 [詳細資料]] 索引標籤並向下捲動到指紋。 按一下指紋、反白顯示並加以複製。 將指紋貼入 [記事本] 中並移除任何空格。

    2. 瀏覽至 C:\Program files\Microsoft Data Protection anager\DPM\bin 資料夾。 然後執行 setdpmserver,如下所示:

      setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      其中 ClientThumbprintWithNoSpaces 是從 [記事本] 檔案複製而來 。

    3. 您應該取得輸出以確認已成功完成設定。

  6. 擷取 .bin 檔案並將它複製到 DPM 伺服器。 我們建議您將它複製到預設位置,以便 Attach 程序檢查該檔案 (Windows\System32),而當您執行 Attach 命令時,您只要指定檔案名稱而非完整路徑。

連接電腦

您可使用 Attach-ProductionServerWithCertificate.ps1 PowerShell 指令碼 (語法如下),將電腦連接到 DPM 伺服器。

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName—DPM 伺服器的名稱

  • PSCredential—.bin 檔案的名稱。 如果將它放在 Windows\System32 資料夾中,您只要指定檔案名稱即可。 請小心指定在受保護伺服器上建立的 .bin 檔案。 如果您指定在 DPM 伺服器上建立的 .bin 檔案,您將移除針對憑證型驗證設定的所有受保護的電腦。

Attach 程序完成後,受保護的電腦應會出現在 DPM 主控台中。

範例

範例 1

在 c:\CertMetaData\ 中產生名稱為 CertificateConfiguration_<DPM SERVER FQDN>.bin 的檔案

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”

其中 dpmserver.contoso.com 是 DPM 伺服器的名稱,而 “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496” 是 DPM 伺服器憑證的指紋。

範例 2

在 c:\CertMetaData\ 資料夾中重新產生遺失的組態檔

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate