Erstellen eines Host Schlüssels und Hinzufügen des Schlüssels zu HGSCreate a host key and add it to HGS

Gilt für: Windows Server 2019Applies to: Windows Server 2019

In diesem Thema wird beschrieben, wie Hyper-V-Hosts mithilfe des Host Schlüssel Nachweis (Schlüssel Modus) auf geschützte Hosts vorbereitet werden.This topic covers how to prepare Hyper-V hosts to become guarded hosts using host key attestation (Key mode). Erstellen Sie ein Host Schlüsselpaar (oder verwenden Sie ein vorhandenes Zertifikat), und fügen Sie die öffentliche Hälfte des Schlüssels zu HGS hinzu.You'll create a host key pair (or use an existing certificate) and add the public half of the key to HGS.

Erstellen eines Host SchlüsselsCreate a host key

  1. Installieren Sie Windows Server 2019 auf dem Hyper-V-Host Computer.Install Windows Server 2019 on your Hyper-V host machine.

  2. Installieren Sie die Hyper-v-und Host-Überwachungsfunktionen von Hyper-v:Install the Hyper-V and Host Guardian Hyper-V Support features:

    Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
    
  3. Generieren Sie automatisch einen Host Schlüssel, oder wählen Sie ein vorhandenes Zertifikat aus.Generate a host key automatically, or select an existing certificate. Wenn Sie ein benutzerdefiniertes Zertifikat verwenden, sollte es mindestens einen 2048-Bit-RSA-Schlüssel, eine Clientauthentifizierungs-EKU und die Verwendung von digitalen Signatur Schlüsseln aufweisen.If you are using a custom certificate, it should have at least a 2048-bit RSA key, Client Authentication EKU, and Digital Signature key usage.

    Set-HgsClientHostKey
    

    Alternativ können Sie einen Fingerabdruck angeben, wenn Sie Ihr eigenes Zertifikat verwenden möchten.Alternatively, you can specify a thumbprint if you want to use your own certificate. Dies kann hilfreich sein, wenn Sie ein Zertifikat für mehrere Computer freigeben möchten, oder wenn Sie ein Zertifikat verwenden möchten, das an ein TPM oder ein HSM gebunden ist.This can be useful if you want to share a certificate across multiple machines, or use a certificate bound to a TPM or an HSM. Hier ist ein Beispiel für das Erstellen eines TPM-gebundenen Zertifikats (das verhindert, dass der private Schlüssel gestohlen und auf einem anderen Computer verwendet wird und nur ein TPM 1,2 erforderlich ist):Here's an example of creating a TPM-bound certificate (which prevents it from having the private key stolen and used on another machine and requires only a TPM 1.2):

    $tpmBoundCert = New-SelfSignedCertificate -Subject "Host Key Attestation ($env:computername)" -Provider "Microsoft Platform Crypto Provider"
    Set-HgsClientHostKey -Thumbprint $tpmBoundCert.Thumbprint
    
  4. Holen Sie sich die öffentliche Hälfte des Schlüssels, der für den HGS-Server bereitgestellt werden soll.Get the public half of the key to provide to the HGS server. Sie können das folgende Cmdlet verwenden oder, wenn Sie das Zertifikat an einem anderen Speicherort gespeichert haben, eine CER-Datei mit der öffentlichen Hälfte des Schlüssels bereitstellen.You can use the following cmdlet or, if you have the certificate stored elsewhere, provide a .cer containing the public half of the key. Beachten Sie, dass wir nur den öffentlichen Schlüssel auf HGS speichern und validieren. Wir behalten keine Zertifikat Informationen bei und überprüfen weder die Zertifikatskette noch das Ablaufdatum.Note that we are only storing and validating the public key on HGS; we do not keep any certificate information nor do we validate the certificate chain or expiration date.

    Get-HgsClientHostKey -Path "C:\temp\$env:hostname-HostKey.cer"
    
  5. Kopieren Sie die CER-Datei auf Ihren HGS-Server.Copy the .cer file to your HGS server.

Hinzufügen des Host Schlüssels zum Nachweis DienstAdd the host key to the attestation service

Dieser Schritt wird auf dem HGS-Server ausgeführt und ermöglicht es dem Host, abgeschirmte VMS auszuführen.This step is done on the HGS server and allows the host to run shielded VMs. Es wird empfohlen, den Namen für den FQDN oder den Ressourcen Bezeichner des Host Computers festzulegen, damit Sie leicht auf den Host, auf dem der Schlüssel installiert ist, verweisen können.It is recommended that you set the name to the FQDN or resource identifier of the host machine, so you can easily refer to which host the key is installed on.

Add-HgsAttestationHostKey -Name MyHost01 -Path "C:\temp\MyHost01-HostKey.cer"

Nächster SchrittNext step

Weitere VerweiseAdditional References