Configurar a proteção com autenticação de certificado
Aplica-se a: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager
Você pode implantar o DPM para proteger os computadores em grupos de trabalho e domínios não confiáveis. Você pode manipular a autenticação usando NTLM ou certificados. Este tópico descreve como configurar a proteção com a autenticação de certificado.
Antes de começar
Cada computador que você deseja proteger deve ter pelo menos o .NET Framework 3.5 com SP1 instalado.
O certificado usado para autenticação deve estar de acordo com o seguinte:
Certificado X.509 V3
O EKU (Uso Avançado de Chave) deve ter autenticação de servidor e de cliente.
O comprimento da chave deve ser de, pelo menos, 1024 bits.
O tipo de chave deve ser exchange.
O nome da entidade do certificado e o certificado raiz não devem ficar vazios.
Os servidores de revogação das Autoridades de Certificação associadas estão online e acessível para o servidor protegido e o servidor DPM
O certificado deve ter associado a chave privada
O DPM não oferece suporte a certificados com chaves CNG
O DPM não oferece suporte a certificados auto-assinados.
Cada computador que deseja proteger (inclusive máquinas virtuais) deve ter seu próprio certificado.
Configurar a proteção
Criar um modelo de certificado do DPM
Configurar um certificado no servidor DPM.
Instalar o agente
Configurar um certificado no computador protegido
Conectar o computador
Criar um modelo de certificado do DPM
Opcionalmente, você pode configurar um modelo do DPM para registro na Web. Se desejar fazer isso, selecione um modelo que tenha a Autenticação de Cliente e Autenticação de Servidor como sua finalidade. Por exemplo:
No snap-in Modelos de Certificados do MMC, é possível selecionar o modelo Servidores RAS e IAS. Clique com botão direito e selecione Modelo Duplicado.
Em Modelo Duplicado, deixe a configuração padrão Windows Server 2003 Enterprise.
Na guia geral, altere o nome de exibição do modelo para algo reconhecível. Por exemplo, Autenticação DPM. Verifique se a configuração Publicar o certificado no Active Directory está habilitada.
Na guia Tratamento de Solicitação, verifique se a opção Permitir que a chave privada seja exportada está habilitada.
Depois de criar o modelo, torne-o disponível para uso. Abra o snap-in Autoridade de certificação. Clique com o botão direito do mouse em Modelos de Certificados, selecione Novo e Modelo de Certificado a Ser Emitido. Em Habilitar Modelos de Certificados, selecione o modelo e clique em OK. Agora o modelo estará disponível quando você obtiver um certificado.
Habilitar o registro ou registro automático
Se desejar configurar opcionalmente o modelo para registro ou registro automático, clique na guia Nome da Entidade nas propriedades do modelo. Quando você configura o registro, o modelo pode ser selecionado no MMC. Se configurar o registro automático, o certificado é automaticamente atribuído a todos os computadores no domínio.
Para o registro, na guia Nome da Entidade das propriedades do modelo, selecione Criar com base nas informações do Active Directory. Em Formato de nome de requerente, selecione Nome Comum e habilite Nome DNS. Em seguida, vá para a guia Segurança e atribua a permissão de Registro aos usuários autenticados.
Para o registro automático, vá para a guia Segurança e atribua a permissão Registrar automaticamente aos usuários autenticados. Com essa configuração habilitada, o certificado será atribuído automaticamente a todos os computadores no domínio.
Se você tiver configurado o registro, poderá solicitar um novo certificado no MMC, com base no modelo. Para fazer isso, no computador protegido, em Certificados (Computador Local) > Pessoal, clique com botão direito do mouse em Certificados. Selecione Todas as Tarefas > Solicitar Novo Certificado. Na página Selecionar Diretiva de Registro de Certificado do assistente, selecione Diretiva de Registro do Active Directory. Em Solicitar Certificados, você verá o modelo. Expanda Detalhes e clique em Propriedades. Selecione a guia Geral e forneça um nome amigável. Depois de aplicar as configurações, você deve receber uma mensagem informando que o certificado foi instalado com êxito.
Configurar um certificado no servidor DPM
Gere um certificado de uma Autoridade de Certificação para o servidor DPM por meio de registro na Web ou qualquer outro método. No registro na Web, selecione Certificado avançado necessário e Criar e enviar uma solicitação para a autoridade de certificação. Verifique se o tamanho da chave é 1024 ou superior e que Marcar chaves como exportáveis está selecionado.
O certificado é colocado no repositório de usuários. Precisamos movê-lo para o repositório do computador local.
Para fazer isso, exporte o certificado do repositório de usuários. Verifique se é exportado com a chave privada. Você pode exportá-lo no formato .pfx padrão. Especifique uma senha para a exportação.
Em Computador Local\Pessoal\Certificado, execute o Assistente para Importação de Certificados para importar o arquivo exportado do local salvo. Especifique a senha usada para exportá-lo e verifique se a opção Marcar esta chave como exportável está selecionada. Na página Repositório de Certificados, deixe a configuração padrão Colocar todos os certificados no repositório a seguir e certifique-se de Pessoal é exibido.
Após a importação, defina as credenciais do DPM para usar o certificado, da seguinte maneira:
Obtenha a impressão digital do certificado. No repositório de Certificados, clique duas vezes no certificado. Selecione a guia Detalhes e role para baixo até a impressão digital. Clique nela, realce e copie-a. Cole a impressão digital no bloco de notas e remova os espaços.
Execute Set-DPMCredentials para configurar o servidor DPM:
Set-DPMCredentials [–DPMServerName <String>] [–Type <AuthenticationType>] [Action <Action>] [–OutputFilePath <String>] [–Thumbprint <String>] [–AuthCAThumbprint <String>]
-Tipo – Indica o tipo de autenticação. Valor: certificado.
-Ação – Especifique se deseja executar o comando pela primeira vez ou gerar novamente as credenciais. Valores possíveis: regenerar ou configurar.
-OutputFilePath – Local do arquivo de saída usado no Set-DPMServer no computador protegido.
–Impressão digital – Cópia do arquivo do bloco de notas.
-AuthCAThumbprint – Impressão digital da autoridade de certificação na cadeia confiável do certificado. Opcional. Se não for especificado, será usado Raiz.
Isso gera um arquivo de metadados (.bin), que é necessário no momento da instalação de cada agente no domínio não confiável. Certifique-se de que a pasta C:\Temp existe antes de executar o comando. Observe que, se o arquivo for perdido ou excluído, poderá recriá-lo executando o script com a opção –ação regenerar.
Recupere o arquivo .bin e copie-o para a pasta C:\Arquivos de Programas\Microsoft Data Protection Manager\DPM\bin no computador que deseja proteger. Você não precisa fazer isso, mas se você não o fizer, precisará especificar o caminho completo do arquivo para o parâmetro –DPMcredential quando você...
Repita essas etapas em cada servidor DPM que irá proteger um computador em um grupo de trabalho ou em um domínio não confiável.
Instalar o agente
- Em cada computador que deseja proteger, execute DPMAgentInstaller_X64.exe no CD de instalação do DPM para instalar o agente.
Configurar um certificado no computador protegido
Gere um certificado de uma Autoridade de Certificação para o computador protegido por meio de registro na Web ou qualquer outro método. No registro na Web, selecione Certificado avançado necessário e Criar e enviar uma solicitação para a autoridade de certificação. Verifique se o tamanho da chave é 1024 ou superior e que Marcar chaves como exportáveis está selecionado.
O certificado é colocado no repositório de usuários. Precisamos movê-lo para o repositório do computador local.
Para fazer isso, exporte o certificado do repositório de usuários. Verifique se é exportado com a chave privada. Você pode exportá-lo no formato .pfx padrão. Especifique uma senha para a exportação.
Em Computador Local\Pessoal\Certificado, execute o Assistente para Importação de Certificados para importar o arquivo exportado do local salvo. Especifique a senha usada para exportá-lo e verifique se a opção Marcar esta chave como exportável está selecionada. Na página Repositório de Certificados, deixe a configuração padrão Colocar todos os certificados no repositório a seguir e certifique-se de Pessoal é exibido.
Após a importação, configure o computador para reconhecer o servidor DPM como autorizados a executar backups, da seguinte maneira
Obtenha a impressão digital do certificado. No repositório de Certificados, clique duas vezes no certificado. Selecione a guia Detalhes e role para baixo até a impressão digital. Clique nela, realce e copie-a. Cole a impressão digital no bloco de notas e remova os espaços.
Navegue até a pasta C:\Arquivos de Programas\Microsoft Data Protection Manager\DPM\bin. E execute o setdpmserver da seguinte maneira:
setdpmserver –dpmCredential CertificateConfiguration_DPM01.contoso.com.bin –OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
Em que ClientThumbprintWithNoSpaces é copiado do arquivo do bloco de notas.
Você deve obter a saída para confirmar que a configuração foi concluída com êxito.
Recupere o arquivo .bin e copie-o para o servidor DPM. Sugerimos que você copie o arquivo para o local padrão, onde o processo de conexão procurará o arquivo (Windows\System32) para que você pode especificar apenas o nome do arquivo em vez do caminho completo quando você executar o comando Attach.
Conectar o computador
Conecte o computador ao servidor DPM usando o script do PowerShell Attach-ProductionServerWithCertificate.ps1, usando a sintaxe.
Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
-DPMServerName – Nome do servidor DPM
PSCredential – Nome do arquivo .bin. Se você colocou na pasta Windows\System32, você pode especificar apenas o nome do arquivo. Tenha cuidado para especificar o arquivo .bin criado no servidor protegido. Se você especificar o arquivo .bin criado no servidor DPM, você removerá todos os computadores protegidos que estão configurados para autenticação baseada em certificado.
Após concluir o processo de conexão, o computador protegido deve aparecer no console do DPM.
Exemplos
Exemplo 1
Gera um arquivo em c:\CertMetaData\ com o nome CertificateConfiguration_<DPM SERVER FQDN>.bin
Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ –Thumbprint “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”
Em que dpmserver.contoso.com é o nome do servidor DPM e “cf822d9ba1c801ef40d4b31de0cfcb200a8a2496” é a impressão digital do certificado do servidor DPM.
Exemplo 2
Gera novamente um arquivo da configuração perdida na pasta c:\CertMetaData\
Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate “-OutputFilePath c:\CertMetaData\ -Action Regenerate