Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При настройке HGS для использования аттестации TPM необходимо также настроить HGS для доверия к поставщикам TPM на ваших серверах.
Этот дополнительный процесс проверки гарантирует, что с помощью HGS можно проверить только аутентичный, надежный TPM.
Если вы попытаетесь зарегистрировать ненадежный TPM с помощью Add-HgsAttestationTpmHost, вы получите сообщение об ошибке, указывающее, что поставщик TPM ненадежен.
Чтобы доверять вашим TPM, корневые и промежуточные сертификаты подписи, используемые для подписания ключа подтверждения в TPM ваших серверов, должны быть установлены на HGS. Если вы используете несколько моделей доверенного платформенного модуля в центре обработки данных, вам может потребоваться установить разные сертификаты для каждой модели. HGS будет искать в хранилищах сертификатов TrustedTPM_RootCA и TrustedTPM_IntermediateCA, чтобы найти сертификаты поставщика.
Примечание.
Сертификаты поставщиков TPM отличаются от предустановленных в Windows и представляют собой конкретные корневые и промежуточные сертификаты, используемые поставщиками TPM.
Коллекция доверенных корневых и промежуточных сертификатов модуля доверительной платформы публикуется корпорацией Майкрософт для вашего удобства. Чтобы установить эти сертификаты, воспользуйтесь приведенными ниже инструкциями. Если сертификаты доверенного платформенного модуля не включены в пакет ниже, обратитесь к поставщику TPM или изготовителю сервера, чтобы получить корневые и промежуточные сертификаты для конкретной модели доверенного платформенного модуля.
Повторите следующие действия на каждом сервере HGS:
Скачайте последний пакет из https://go.microsoft.com/fwlink/?linkid=2097925.
Проверьте подпись cab-файла, чтобы убедиться в его подлинности. Не продолжайте работу, если подпись недопустима.
Get-AuthenticodeSignature .\TrustedTpm.cabВот пример выходных данных:
Directory: C:\Users\Administrator\Downloads SignerCertificate Status Path ----------------- ------ ---- 0DD6D4D4F46C0C7C2671962C4D361D607E370940 Valid TrustedTpm.cabРазверните cab-файл.
mkdir .\TrustedTPM expand.exe -F:* <Path-To-TrustedTpm.cab> .\TrustedTPMПо умолчанию скрипт конфигурации установит сертификаты для каждого поставщика TPM. Если вы хотите импортировать сертификаты только для конкретного поставщика TPM, удалите папки тех поставщиков TPM, которым не доверяет ваша организация.
Установите пакет доверенного сертификата, выполнив скрипт установки в развернутой папке.
cd .\TrustedTPM .\setup.cmd
Чтобы добавить новые сертификаты или те, которые намеренно пропущены во время более ранней установки, просто повторите описанные выше действия на каждом узле в кластере HGS. Существующие сертификаты останутся доверенными, но новые сертификаты, найденные в развернутом cab-файле, будут добавлены в доверенные хранилища TPM.