使用证书身份验证来设置保护

• 要保护的每台计算机都应至少安装 .NET Framework 3.5 SP1。

• 用于身份验证的证书必须符合以下要求：

  • X.509 V3 证书

  • 增强型密钥使用 (EKU) 应具有客户端身份验证和服务器身份验证。

  • 密钥长度应至少为 1024 位。

  • 密钥类型应为 exchange。

  • 证书和根证书的使用者名称不应为空。

  • 相关联证书颁发机构的吊销服务器处于联机状态，受保护的服务器与 DPM 服务器都可访问

  • 该证书应具有关联的私钥

  • DPM 不支持使用 CNG 密钥的证书

  • DPM 不支持自签名证书。

• 要保护的每台计算机（包括虚拟机）必须具有其自己的证书。

1. 创建 DPM 证书模板

2. 在 DPM 服务器上配置证书。

3. 安装代理

4. 在受保护的计算机上配置证书

5. 附加计算机

您可以视情况设置一个 DPM 模板以用于 Web 注册。 如果要执行此操作，请根据其用途选择具有客户端身份验证和服务器身份验证的模板。 例如：

1. 在“证书模板”MMC 管理单元中，您可以选择“RAS 和 IAS 服务器”模板。 右键单击该模板并选择“复制模板”。

2. 在“复制模板”中，保留默认设置“Windows Server 2003 Enterprise”。

3. 在“常规”选项卡上，将该模板显示名称更改为可识别的内容。 例如“DPM 身份验证”。 请确保设置“在 Active Directory 中发布证书”已启用。

4. 在“请求处理”选项卡上，请确保“允许导出私钥”已启用。

5. 创建了模板之后，使其可供使用。 打开“证书颁发机构”管理单元。 右键单击“证书模板”，选择“新建”，然后选择“要颁发的证书模板”。 在“启用证书模板”中，选择该模板，然后单击“确定”。 现在，该模板将在您获得证书时可用。

1. 通过 Web 注册或其他方法，从 CA 为 DPM 服务器生成证书。 在 Web 注册中，选择“所需高级证书”以及“创建并向此 CA 提交一个申请”。 请确保密钥大小为 1024 或更大，且“标记密钥为可导出”为选中状态。

2. 证书将放在用户存储中。 需要将其移至本地计算机存储。

3. 若要执行此操作，请将证书从用户存储导出。 请确保将其导出时包含私钥。 可采用默认 .pfx 格式将其导出。 指定导出密码。

4. 在 Local Computer\Personal\Certificate 中，运行“证书导入向导”，将导出的文件从其保存位置导入。 指定导出时所用的密码，并确保“标志此密钥为可导出的密钥”为选中状态。 在“证书存储”页上，保留默认设置“将所有的证书放入下列存储”，并确保“个人”已显示。

5. 导入之后，设置 DPM 凭据以使用此证书，如下所示：

   1. 获取证书指纹。 在“证书”存储中，双击该证书。 选择“详细信息”选项卡，并向下滚动至指纹。 单击指纹，使其突出显示，然后进行复制。 将指纹粘贴到记事本，并删除任何空格。

   2. 运行 Set-DPMCredentials 以配置 DPM 服务器：

      Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]
      

   • -Type - 指示身份验证类型。 值：“证书”。

   • -Action - 指定是要首次执行此命令，还是重新生成凭据。 可能值：重新生成或配置

   • -OutputFilePath - Set-DPMServer 中使用的输出文件在受保护计算机上的位置。

   • –Thumbprint - 从记事本文件进行复制。

   • -AuthCAThumbprint - 证书信任链中的 CA 指纹。 可选。 如果未指定，将使用根证书。

6. 将生成在不受信任的域中安装每个代理时所需的元数据文件 (.bin)。 运行此命令之前，请确保 C:\Temp 文件夹存在。 请注意，如果该文件丢失或已删除，您可以通过运行包含 –action regenerate 选项的脚本重新创建。

7. 检索 .bin 文件，并将其复制到要保护的计算机上的 C:\Program Files\Microsoft Data Protection Manager\DPM\bin 文件夹。 此操作并非必需，但若未执行此操作，则需要为 –DPMcredential 参数指定该文件的完整路径，如果您...

8. 在要保护工作组或不受信任域中的计算机的每个 DPM 服务器上重复上述步骤。

1. 在要保护的每台计算机上，从 DPM 安装 CD 运行 DPMAgentInstaller_X64.exe 以安装代理。

1. 通过 Web 注册或其他方法，从 CA 为受保护的计算机生成证书。 在 Web 注册中，选择“所需高级证书”以及“创建并向此 CA 提交一个申请”。 请确保密钥大小为 1024 或更大，且“标记密钥为可导出”为选中状态。

2. 证书将放在用户存储中。 需要将其移至本地计算机存储。

3. 若要执行此操作，请将证书从用户存储导出。 请确保将其导出时包含私钥。 可采用默认 .pfx 格式将其导出。 指定导出密码。

4. 在 Local Computer\Personal\Certificate 中，运行“证书导入向导”，将导出的文件从其保存位置导入。 指定导出时所用的密码，并确保“标志此密钥为可导出的密钥”为选中状态。 在“证书存储”页上，保留默认设置“将所有的证书放入下列存储”，并确保“个人”已显示。

5. 导入后，对计算机进行配置，以将 DPM 服务器识别为已授权执行备份，如下所示

   1. 获取证书指纹。 在“证书”存储中，双击该证书。 选择“详细信息”选项卡，并向下滚动至指纹。 单击指纹，使其突出显示，然后进行复制。 将指纹粘贴到记事本，并删除任何空格。

   2. 导航到 C:\Program files\Microsoft Data Protection Manager\DPM\bin 文件夹。 并运行 setdpmserver，如下所示：

      setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
      

      其中，ClientThumbprintWithNoSpaces 是从记事本文件复制的。

   3. 此时应得到输出，确认配置已成功完成。

6. 检索 .bin 文件，并将其复制到 DPM 服务器。 我们建议将其复制到 Attach 进程将检查该文件的默认位置 (Windows\System32)，以便您在运行 Attach 命令时只指定文件名，而不是完整路径。

您可以使用语法，通过 Attach-ProductionServerWithCertificate.ps1 PowerShell 脚本将计算机附加到 DPM 服务器。

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

• -DPMServerName - DPM 服务器的名称

• PSCredential - .bin 文件名。 如果将其放到 Windows\System32 文件夹中，则您可以仅指定文件名。 请谨慎指定在受保护服务器上创建的 .bin 文件。 如果指定在 DPM 服务器上创建的 .bin 文件，则会删除所有针对基于证书的身份验证配置的受保护计算机。

附加过程完成后，受保护的计算机应显示在 DPM 控制台中。

示例 1

在 c:\CertMetaData\ 中生成名为 CertificateConfiguration_<DPM 服务器 FQDN>.bin 的文件

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”

其中 dpmserver.contoso.com 是 DPM 服务器的名称，“cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”是 DPM 服务器证书的指纹。

示例 2

在文件夹 c:\CertMetaData\ 中重新生成丢失的配置文件

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate