Compartilhar via

  • Artigo

Configurar a proteção com autenticação de certificado

 

Aplica-se a: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

Você pode implantar o DPM para proteger os computadores em grupos de trabalho e domínios não confiáveis. Você pode manipular a autenticação usando NTLM ou certificados. Este tópico descreve como configurar a proteção com a autenticação de certificado.

Antes de começar

  • Cada computador que você deseja proteger deve ter pelo menos o .NET Framework 3.5 com SP1 instalado.

  • O certificado usado para autenticação deve estar de acordo com o seguinte:

    • Certificado X.509 V3

    • O EKU (Uso Avançado de Chave) deve ter autenticação de servidor e de cliente.

    • O comprimento da chave deve ser de, pelo menos, 1024 bits.

    • O tipo de chave deve ser exchange.

    • O nome da entidade do certificado e o certificado raiz não devem ficar vazios.

    • Os servidores de revogação das Autoridades de Certificação associadas estão online e acessível para o servidor protegido e o servidor DPM

    • O certificado deve ter associado a chave privada

    • O DPM não oferece suporte a certificados com chaves CNG

    • O DPM não oferece suporte a certificados auto-assinados.

  • Cada computador que deseja proteger (inclusive máquinas virtuais) deve ter seu próprio certificado.

Configurar a proteção

  1. Criar um modelo de certificado do DPM

  2. Configurar um certificado no servidor DPM.

  3. Instalar o agente

  4. Configurar um certificado no computador protegido

  5. Conectar o computador

Criar um modelo de certificado do DPM

Opcionalmente, você pode configurar um modelo do DPM para registro na Web. Se desejar fazer isso, selecione um modelo que tenha a Autenticação de Cliente e Autenticação de Servidor como sua finalidade. Por exemplo:

  1. No snap-in Modelos de Certificados do MMC, é possível selecionar o modelo Servidores RAS e IAS. Clique com botão direito e selecione Modelo Duplicado.

  2. Em Modelo Duplicado, deixe a configuração padrão Windows Server 2003 Enterprise.

  3. Na guia geral, altere o nome de exibição do modelo para algo reconhecível. Por exemplo, Autenticação DPM. Verifique se a configuração Publicar o certificado no Active Directory está habilitada.

  4. Na guia Tratamento de Solicitação, verifique se a opção Permitir que a chave privada seja exportada está habilitada.

  5. Depois de criar o modelo, torne-o disponível para uso. Abra o snap-in Autoridade de certificação. Clique com o botão direito do mouse em Modelos de Certificados, selecione Novo e Modelo de Certificado a Ser Emitido. Em Habilitar Modelos de Certificados, selecione o modelo e clique em OK. Agora o modelo estará disponível quando você obtiver um certificado.

Habilitar o registro ou registro automático

Se desejar configurar opcionalmente o modelo para registro ou registro automático, clique na guia Nome da Entidade nas propriedades do modelo. Quando você configura o registro, o modelo pode ser selecionado no MMC. Se configurar o registro automático, o certificado é automaticamente atribuído a todos os computadores no domínio.

  • Para o registro, na guia Nome da Entidade das propriedades do modelo, selecione Criar com base nas informações do Active Directory. Em Formato de nome de requerente, selecione Nome Comum e habilite Nome DNS. Em seguida, vá para a guia Segurança e atribua a permissão de Registro aos usuários autenticados.

  • Para o registro automático, vá para a guia Segurança e atribua a permissão Registrar automaticamente aos usuários autenticados. Com essa configuração habilitada, o certificado será atribuído automaticamente a todos os computadores no domínio.

  • Se você tiver configurado o registro, poderá solicitar um novo certificado no MMC, com base no modelo. Para fazer isso, no computador protegido, em Certificados (Computador Local) > Pessoal, clique com botão direito do mouse em Certificados. Selecione Todas as Tarefas > Solicitar Novo Certificado. Na página Selecionar Diretiva de Registro de Certificado do assistente, selecione Diretiva de Registro do Active Directory. Em Solicitar Certificados, você verá o modelo. Expanda Detalhes e clique em Propriedades. Selecione a guia Geral e forneça um nome amigável. Depois de aplicar as configurações, você deve receber uma mensagem informando que o certificado foi instalado com êxito.

Configurar um certificado no servidor DPM

  1. Gere um certificado de uma Autoridade de Certificação para o servidor DPM por meio de registro na Web ou qualquer outro método. No registro na Web, selecione Certificado avançado necessário e Criar e enviar uma solicitação para a autoridade de certificação. Verifique se o tamanho da chave é 1024 ou superior e que Marcar chaves como exportáveis está selecionado.

  2. O certificado é colocado no repositório de usuários. Precisamos movê-lo para o repositório do computador local.

  3. Para fazer isso, exporte o certificado do repositório de usuários. Verifique se é exportado com a chave privada. Você pode exportá-lo no formato .pfx padrão. Especifique uma senha para a exportação.

  4. Em Computador Local\Pessoal\Certificado, execute o Assistente para Importação de Certificados para importar o arquivo exportado do local salvo. Especifique a senha usada para exportá-lo e verifique se a opção Marcar esta chave como exportável está selecionada. Na página Repositório de Certificados, deixe a configuração padrão Colocar todos os certificados no repositório a seguir e certifique-se de Pessoal é exibido.

  5. Após a importação, defina as credenciais do DPM para usar o certificado, da seguinte maneira:

    1. Obtenha a impressão digital do certificado. No repositório de Certificados, clique duas vezes no certificado. Selecione a guia Detalhes e role para baixo até a impressão digital. Clique nela, realce e copie-a. Cole a impressão digital no bloco de notas e remova os espaços.

    2. Execute Set-DPMCredentials para configurar o servidor DPM:

      Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]

    • -Tipo – Indica o tipo de autenticação. Valor: certificado.

    • -Ação – Especifique se deseja executar o comando pela primeira vez ou gerar novamente as credenciais. Valores possíveis: regenerar ou configurar.

    • -OutputFilePath – Local do arquivo de saída usado no Set-DPMServer no computador protegido.

    • –Impressão digital – Cópia do arquivo do bloco de notas.

    • -AuthCAThumbprint – Impressão digital da autoridade de certificação na cadeia confiável do certificado. Opcional. Se não for especificado, será usado Raiz.

  6. Isso gera um arquivo de metadados (.bin), que é necessário no momento da instalação de cada agente no domínio não confiável. Certifique-se de que a pasta C:\Temp existe antes de executar o comando. Observe que, se o arquivo for perdido ou excluído, poderá recriá-lo executando o script com a opção –ação regenerar.

  7. Recupere o arquivo .bin e copie-o para a pasta C:\Arquivos de Programas\Microsoft Data Protection Manager\DPM\bin no computador que deseja proteger. Você não precisa fazer isso, mas se você não o fizer, precisará especificar o caminho completo do arquivo para o parâmetro –DPMcredential quando você...

  8. Repita essas etapas em cada servidor DPM que irá proteger um computador em um grupo de trabalho ou em um domínio não confiável.

Instalar o agente

  1. Em cada computador que deseja proteger, execute DPMAgentInstaller_X64.exe no CD de instalação do DPM para instalar o agente.

Configurar um certificado no computador protegido

  1. Gere um certificado de uma Autoridade de Certificação para o computador protegido por meio de registro na Web ou qualquer outro método. No registro na Web, selecione Certificado avançado necessário e Criar e enviar uma solicitação para a autoridade de certificação. Verifique se o tamanho da chave é 1024 ou superior e que Marcar chaves como exportáveis está selecionado.

  2. O certificado é colocado no repositório de usuários. Precisamos movê-lo para o repositório do computador local.

  3. Para fazer isso, exporte o certificado do repositório de usuários. Verifique se é exportado com a chave privada. Você pode exportá-lo no formato .pfx padrão. Especifique uma senha para a exportação.

  4. Em Computador Local\Pessoal\Certificado, execute o Assistente para Importação de Certificados para importar o arquivo exportado do local salvo. Especifique a senha usada para exportá-lo e verifique se a opção Marcar esta chave como exportável está selecionada. Na página Repositório de Certificados, deixe a configuração padrão Colocar todos os certificados no repositório a seguir e certifique-se de Pessoal é exibido.

  5. Após a importação, configure o computador para reconhecer o servidor DPM como autorizados a executar backups, da seguinte maneira

    1. Obtenha a impressão digital do certificado. No repositório de Certificados, clique duas vezes no certificado. Selecione a guia Detalhes e role para baixo até a impressão digital. Clique nela, realce e copie-a. Cole a impressão digital no bloco de notas e remova os espaços.

    2. Navegue até a pasta C:\Arquivos de Programas\Microsoft Data Protection Manager\DPM\bin. E execute o setdpmserver da seguinte maneira:

      setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Em que ClientThumbprintWithNoSpaces é copiado do arquivo do bloco de notas.

    3. Você deve obter a saída para confirmar que a configuração foi concluída com êxito.

  6. Recupere o arquivo .bin e copie-o para o servidor DPM. Sugerimos que você copie o arquivo para o local padrão, onde o processo de conexão procurará o arquivo (Windows\System32) para que você pode especificar apenas o nome do arquivo em vez do caminho completo quando você executar o comando Attach.

Conectar o computador

Conecte o computador ao servidor DPM usando o script do PowerShell Attach-ProductionServerWithCertificate.ps1, usando a sintaxe.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName – Nome do servidor DPM

  • PSCredential – Nome do arquivo .bin. Se você colocou na pasta Windows\System32, você pode especificar apenas o nome do arquivo. Tenha cuidado para especificar o arquivo .bin criado no servidor protegido. Se você especificar o arquivo .bin criado no servidor DPM, você removerá todos os computadores protegidos que estão configurados para autenticação baseada em certificado.

Após concluir o processo de conexão, o computador protegido deve aparecer no console do DPM.

Exemplos

Exemplo 1

Gera um arquivo em c:\CertMetaData\ com o nome CertificateConfiguration_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”

Em que dpmserver.contoso.com é o nome do servidor DPM e “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496” é a impressão digital do certificado do servidor DPM.

Exemplo 2

Gera novamente um arquivo da configuração perdida na pasta c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate