При необхідності можна налаштувати шаблон DPM для веб-реєстрації. Для цього виберіть шаблон, призначений для перевірки справжності клієнта і сервера. Приклад.
В оснащенні MMC Шаблони сертифікатів можна вибрати шаблон RAS- і IAS-сервер. Клацніть його правою кнопкою миші та виберіть Копіювати шаблон.
Переконайтеся, що на вкладці Обробка запиту що встановлений прапорець Дозволити експортувати закритий ключ.
Після створення шаблону надайте його для використання. Відкрийте оснастку «Центр сертифікації». Клацніть правою кнопкою миші елемент Шаблони сертифікатів. виберіть пункти Створити і Що видається шаблон сертифіката. У вікні Включення шаблону сертифіката виберіть шаблон і натисніть кнопку ОК. Тепер шаблон буде доступний при отриманні сертифікату.
Якщо ви хочете додатково налаштувати шаблон для ручної або автоматичної реєстрації, перейдіть на вкладку "Ім'я суб'єкта" у властивостях шаблону. При налаштуванні реєстрації шаблон можна вибрати в MMC. При налаштуванні автоматичної реєстрації сертифікат автоматично призначається для всіх комп'ютерів в домені.
Для реєстрації на вкладці Ім'я суб'єкта властивостей шаблону встановіть прапорець Вибрати збірку на основі даних Active Directory. У вікні Формат імені суб'єкта виберіть Загальне ім'я і встановіть прапорець DNS-ім'я. Перейдіть на вкладку "Безпека" та призначте дозвіл Реєстрація користувачам, які пройшли перевірку автентичності.
Для автоматичної реєстрації перейдіть на вкладку Безпека і призначте дозвіл Автоматична реєстрація користувачам, які пройшли перевірку автентичності. Якщо цей параметр включений, сертифікат буде автоматично призначений всім комп'ютерам в домені.
Якщо реєстрація налаштована, ви зможете запросити новий сертифікат в MMC на основі шаблону. Для цього на захищеному комп'ютері, в розділі Сертифікати (локальний комп'ютер)> Приватне. клацніть правою кнопкою миші Сертифікати. Виберіть Всі завдання> Просити новий сертифікат. На сторінці Вибір політики реєстрації сертифікатів майстра клацніть Політика реєстрації Active Directory. У вікні Запит сертифікатів з'явиться шаблон. Розгорніть Відомості та натисніть кнопку Властивості. Відкрийте вкладку Загальні і введіть зрозуміле ім'я. Після застосування параметрів повинно з'явитися повідомлення, що сертифікат успішно встановлений.
Створіть сертифікат з ЦС для сервера DPM за допомогою веб-реєстрації або іншого методу. При веб-реєстрації клацніть потрібно розширений сертифікат і Створити і відправити запит в ЦС. Переконайтеся, що розмір ключа - 1024 або вище і що встановлений прапорець Позначити ключ як експортований.
Сертифікат поміщається в сховище користувача. Його необхідно перемістити в сховище локального комп'ютера.
Для цього експортуйте сертифікат зі сховища користувача. Переконайтеся, що експорт виробляється за допомогою закритого ключа. Його можна експортувати в форматі PFX за замовчуванням. Вкажіть пароль для експорту.
В папці Computer \ Personal \ Certificate запустіть майстер імпорту сертифікатів, щоб імпортувати експортований файл з розташування, в якому він збережений. Вкажіть пароль, який використовується для експорту, і переконайтеся, що встановлено прапорець Позначити ключ як експортований. На сторінці "Сховище сертифікатів" залиште параметр за замовчуванням Розмістити всі сертифікати в наступному сховище і переконайтеся, що відображається розділ Приватне.
Після імпорту встановіть облікові дані DPM для використання сертифіката наступним чином.
Отримайте відбиток сертифіката. У сховищі Сертифікати двічі клацніть сертифікат. Відкрийте вкладку Відомості та перейдіть вниз, до сертифікату. Клацніть його, виділіть і скопіюйте. Вставте відбиток в Блокнот і видаліть всі прогалини.
Запустіть Set-DPMCredentials. щоб налаштувати сервер DPM:
-Type - тип перевірки автентичності. Значення: сертифікат.
-Action - значення, яке вказує, чи слід виконувати команду в перший раз або потрібно повторно створити облікові дані. Можливі значення: regenerate або configure.
OutputFilePath - розташування вихідного файлу, який використовується в Set-DPMServer на захищеному комп'ютері.
-Thumbprint - копія з файлу Блокнота.
-AuthCAThumbprint - відбиток ЦС в ланцюзі довіри сертифіката. Необов'язковий параметр. Якщо не вказано, буде використаний корінь.
Цією командою створюється файл метаданих (BIN-файл), необхідний під час установки агента в недовірених домені. Перед тим як виконувати команду, переконайтеся, що папка C: \ Temp існує. Зверніть увагу, що, якщо файл втрачений або знищений, можна повторно створити його, запустивши скрипт з параметром -action regenerate.
Поверніть BIN-файл і скопіюйте його в папку C: \ Program Files \ Microsoft Data Protection Manager \ DPM \ bin на комп'ютері, який потрібно захистити. Це необов'язково, але якщо цього не зробити, потрібно вказати повний шлях до файлу для параметра -DPMcredential під час ...
Повторіть ці дії на кожному сервері DPM, який захистить комп'ютер в робочій групі або недовірених домені.
Створіть сертифікат з ЦС для захищеного комп'ютера за допомогою веб-реєстрації або іншого методу. При веб-реєстрації клацніть потрібно розширений сертифікат і Створити і відправити запит в ЦС. Переконайтеся, що розмір ключа - 1024 або вище і що встановлений прапорець Позначити ключ як експортований.
Сертифікат поміщається в сховище користувача. Його необхідно перемістити в сховище локального комп'ютера.
Для цього експортуйте сертифікат зі сховища користувача. Переконайтеся, що експорт виробляється за допомогою закритого ключа. Його можна експортувати в форматі PFX за замовчуванням. Вкажіть пароль для експорту.
В папці Computer \ Personal \ Certificate запустіть майстер імпорту сертифікатів, щоб імпортувати експортований файл з розташування, в якому він збережений. Вкажіть пароль, який використовується для експорту, і переконайтеся, що встановлено прапорець Позначити ключ як експортований. На сторінці "Сховище сертифікатів" залиште параметр за замовчуванням Розмістити всі сертифікати в наступному сховище і переконайтеся, що відображається розділ Приватне.
Отримайте відбиток сертифіката. У сховищі Сертифікати двічі клацніть сертифікат. Відкрийте вкладку Відомості та перейдіть вниз, до сертифікату. Клацніть його, виділіть і скопіюйте. Вставте відбиток в Блокнот і видаліть всі прогалини.
Перейдіть в папку C: \ Program files \ Microsoft Data Protection anager \ DPM \ bin. Запустіть setdpmserver наступним чином: