Создайте ключ узла и добавьте его в HGS

В этом разделе описывается подготовка узлов Hyper-V к созданию защищенных узлов с помощью аттестации ключей узла (режим ключа). Вы создадите пару ключей узла (или используете существующий сертификат) и добавьте общедоступную половину ключа в HGS.

Создание ключа узла

1. Установите Windows Server 2019 на компьютере узла Hyper-V.

2. Установите функции поддержки Hyper-V и Host Guardian Hyper-V:

   Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
   

3. Автоматически создайте ключ узла или выберите существующий сертификат. Если вы используете пользовательский сертификат, он должен иметь по крайней мере 2048-разрядный ключ RSA, EKU проверки подлинности клиента и использование ключа цифровой подписи.

   Set-HgsClientHostKey
   

   Кроме того, можно указать отпечаток, если вы хотите использовать собственный сертификат. Это может быть полезно, если вы хотите предоставить общий доступ к сертификату на нескольких компьютерах или использовать сертификат, привязанный к доверенному платформенного модуля или HSM. Ниже приведен пример создания сертификата, привязанного к TPM (который предотвращает кражу закрытого ключа и использование на другом компьютере и требует только доверенного платформенного модуля 1.2):

   $tpmBoundCert = New-SelfSignedCertificate -Subject "Host Key Attestation ($env:computername)" -Provider "Microsoft Platform Crypto Provider"
   Set-HgsClientHostKey -Thumbprint $tpmBoundCert.Thumbprint
   

4. Получите общедоступную половину ключа для предоставления серверу HGS. Вы можете использовать следующий командлет или, если у вас есть сертификат, хранящийся в другом месте, укажите .cer, содержащую общедоступную половину ключа. Обратите внимание, что мы сохраняем и проверяем открытый ключ в HGS; Мы не сохраняем сведения о сертификате и не проверяем цепочку сертификатов или дату окончания срока действия.

   Get-HgsClientHostKey -Path "C:\temp\$env:hostname-HostKey.cer"
   

5. Скопируйте файл .cer на сервер HGS.

Добавление ключа узла в службу аттестации

Этот шаг выполняется на сервере HGS и позволяет узлу запускать экранированные виртуальные машины. Рекомендуется задать полное доменное имя или идентификатор ресурса хост-компьютера, чтобы можно было легко ссылаться на узел, на котором установлен ключ.

Add-HgsAttestationHostKey -Name MyHost01 -Path "C:\temp\MyHost01-HostKey.cer"

Следующий шаг

• Подтверждение успешного подтверждения узлов

Дополнительные справочники

• Развертывание службы защиты узла для защищенных узлов и экранированных виртуальных машин