使用证书身份验证来设置保护
适用对象:System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager
您可以部署 DPM 以保护工作组和不受信任的域中的计算机。 您可以使用 NTLM 或证书处理身份验证。 本主题将向您介绍如何使用证书身份验证来设置保护。
开始之前
要保护的每台计算机都应至少安装 .NET Framework 3.5 SP1。
用于身份验证的证书必须符合以下要求:
X.509 V3 证书
增强型密钥使用 (EKU) 应具有客户端身份验证和服务器身份验证。
密钥长度应至少为 1024 位。
密钥类型应为 exchange。
证书和根证书的使用者名称不应为空。
相关联证书颁发机构的吊销服务器处于联机状态,受保护的服务器与 DPM 服务器都可访问
该证书应具有关联的私钥
DPM 不支持使用 CNG 密钥的证书
DPM 不支持自签名证书。
要保护的每台计算机(包括虚拟机)必须具有其自己的证书。
设置保护
创建 DPM 证书模板
在 DPM 服务器上配置证书。
安装代理
在受保护的计算机上配置证书
附加计算机
创建 DPM 证书模板
您可以视情况设置一个 DPM 模板以用于 Web 注册。 如果要执行此操作,请根据其用途选择具有客户端身份验证和服务器身份验证的模板。 例如:
在“证书模板”MMC 管理单元中,您可以选择“RAS 和 IAS 服务器”模板。 右键单击该模板并选择“复制模板”。
在“复制模板”中,保留默认设置“Windows Server 2003 Enterprise”。
在“常规”选项卡上,将该模板显示名称更改为可识别的内容。 例如“DPM 身份验证”。 请确保设置“在 Active Directory 中发布证书”已启用。
在“请求处理”选项卡上,请确保“允许导出私钥”已启用。
创建了模板之后,使其可供使用。 打开“证书颁发机构”管理单元。 右键单击“证书模板”,选择“新建”,然后选择“要颁发的证书模板”。 在“启用证书模板”中,选择该模板,然后单击“确定”。 现在,该模板将在您获得证书时可用。
启用注册或自动注册
如果您要视情况配置用于注册或自动注册的模板,请在模板属性中单击“使用者名称”选项卡。 配置注册时,该模板可在 MMC 中进行选择。 如果配置自动注册,证书将自动分配至域中的所有计算机。
对于注册,在模板属性的“使用者名称”选项卡中,启用“选择用 Active Directory 中的信息生成”。 在“使用者名称格式”中,选择“公用名”并启用“DNS 名称”。 然后转到“安全性”选项卡,并将“注册”权限分配给已身份验证的用户。
对于自动注册,请转到“安全性”选项卡,并将“自动注册”权限分配给已身份验证的用户。 启用此设置之后,证书将自动分配给域中的所有计算机。
如果已配置注册,则您可以基于该模板在 MMC 中请求新的证书。 若要执行此操作,请在受保护的计算机上,在“证书(本地计算机)”>“个人”中,右键单击“证书”。 选择“所有任务”>“请求新证书”。 在向导的“选择证书注册策略”页中,选择“Active Directory 注册策略”。 在“请求证书”中,您将看到该模板。 展开“详细信息”并单击“属性”。 选择“常规”选项卡并提供一个好记的名称。 应用这些设置后,您应收到一条说明该证书已成功安装的消息。
在 DPM 服务器上配置证书
通过 Web 注册或其他方法,从 CA 为 DPM 服务器生成证书。 在 Web 注册中,选择“所需高级证书”以及“创建并向此 CA 提交一个申请”。 请确保密钥大小为 1024 或更大,且“标记密钥为可导出”为选中状态。
证书将放在用户存储中。 需要将其移至本地计算机存储。
若要执行此操作,请将证书从用户存储导出。 请确保将其导出时包含私钥。 可采用默认 .pfx 格式将其导出。 指定导出密码。
在 Local Computer\Personal\Certificate 中,运行“证书导入向导”,将导出的文件从其保存位置导入。 指定导出时所用的密码,并确保“标志此密钥为可导出的密钥”为选中状态。 在“证书存储”页上,保留默认设置“将所有的证书放入下列存储”,并确保“个人”已显示。
导入之后,设置 DPM 凭据以使用此证书,如下所示:
获取证书指纹。 在“证书”存储中,双击该证书。 选择“详细信息”选项卡,并向下滚动至指纹。 单击指纹,使其突出显示,然后进行复制。 将指纹粘贴到记事本,并删除任何空格。
运行 Set-DPMCredentials 以配置 DPM 服务器:
Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]
-Type - 指示身份验证类型。 值:“证书”。
-Action - 指定是要首次执行此命令,还是重新生成凭据。 可能值:重新生成或配置
-OutputFilePath - Set-DPMServer 中使用的输出文件在受保护计算机上的位置。
–Thumbprint - 从记事本文件进行复制。
-AuthCAThumbprint - 证书信任链中的 CA 指纹。 可选。 如果未指定,将使用根证书。
将生成在不受信任的域中安装每个代理时所需的元数据文件 (.bin)。 运行此命令之前,请确保 C:\Temp 文件夹存在。 请注意,如果该文件丢失或已删除,您可以通过运行包含 –action regenerate 选项的脚本重新创建。
检索 .bin 文件,并将其复制到要保护的计算机上的 C:\Program Files\Microsoft Data Protection Manager\DPM\bin 文件夹。 此操作并非必需,但若未执行此操作,则需要为 –DPMcredential 参数指定该文件的完整路径,如果您...
在要保护工作组或不受信任域中的计算机的每个 DPM 服务器上重复上述步骤。
安装代理
- 在要保护的每台计算机上,从 DPM 安装 CD 运行 DPMAgentInstaller_X64.exe 以安装代理。
在受保护的计算机上配置证书
通过 Web 注册或其他方法,从 CA 为受保护的计算机生成证书。 在 Web 注册中,选择“所需高级证书”以及“创建并向此 CA 提交一个申请”。 请确保密钥大小为 1024 或更大,且“标记密钥为可导出”为选中状态。
证书将放在用户存储中。 需要将其移至本地计算机存储。
若要执行此操作,请将证书从用户存储导出。 请确保将其导出时包含私钥。 可采用默认 .pfx 格式将其导出。 指定导出密码。
在 Local Computer\Personal\Certificate 中,运行“证书导入向导”,将导出的文件从其保存位置导入。 指定导出时所用的密码,并确保“标志此密钥为可导出的密钥”为选中状态。 在“证书存储”页上,保留默认设置“将所有的证书放入下列存储”,并确保“个人”已显示。
导入后,对计算机进行配置,以将 DPM 服务器识别为已授权执行备份,如下所示
获取证书指纹。 在“证书”存储中,双击该证书。 选择“详细信息”选项卡,并向下滚动至指纹。 单击指纹,使其突出显示,然后进行复制。 将指纹粘贴到记事本,并删除任何空格。
导航到 C:\Program files\Microsoft Data Protection Manager\DPM\bin 文件夹。 并运行 setdpmserver,如下所示:
setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
其中,ClientThumbprintWithNoSpaces 是从记事本文件复制的。
此时应得到输出,确认配置已成功完成。
检索 .bin 文件,并将其复制到 DPM 服务器。 我们建议将其复制到 Attach 进程将检查该文件的默认位置 (Windows\System32),以便您在运行 Attach 命令时只指定文件名,而不是完整路径。
附加计算机
您可以使用语法,通过 Attach-ProductionServerWithCertificate.ps1 PowerShell 脚本将计算机附加到 DPM 服务器。
Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
-DPMServerName - DPM 服务器的名称
PSCredential - .bin 文件名。 如果将其放到 Windows\System32 文件夹中,则您可以仅指定文件名。 请谨慎指定在受保护服务器上创建的 .bin 文件。 如果指定在 DPM 服务器上创建的 .bin 文件,则会删除所有针对基于证书的身份验证配置的受保护计算机。
附加过程完成后,受保护的计算机应显示在 DPM 控制台中。
示例
示例 1
在 c:\CertMetaData\ 中生成名为 CertificateConfiguration_<DPM 服务器 FQDN>.bin 的文件
Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”
其中 dpmserver.contoso.com 是 DPM 服务器的名称,“cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”是 DPM 服务器证书的指纹。
示例 2
在文件夹 c:\CertMetaData\ 中重新生成丢失的配置文件
Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate