Erstellen eines Hostschlüssels und Hinzufügen zu HGS

Gilt für: Windows Server 2022, Windows Server 2019

In diesem Thema wird beschrieben, wie Hyper-V-Hosts mithilfe des Hostschlüsselbeweises (Schlüsselmodus) auf die Verwendung von schutzbeschützten Hosts vorbereitet werden. Sie erstellen ein Hostschlüsselpaar (oder verwenden ein vorhandenes Zertifikat) und fügen dem HGS die öffentliche Hälfte des Schlüssels hinzu.

Erstellen eines Hostschlüssels

  1. Installieren Windows Server 2019 auf Ihrem Hyper-V-Hostcomputer.

  2. Installieren Sie die Hyper-V- und Host Guardian Hyper-V-Unterstützungsfeatures:

    Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
    
  3. Generieren Sie automatisch einen Hostschlüssel, oder wählen Sie ein vorhandenes Zertifikat aus. Wenn Sie ein benutzerdefiniertes Zertifikat verwenden, sollte es mindestens einen 2048-Bit-RSA-Schlüssel, eine Clientauthentifizierungs-EKU und eine Digitale Signatur-Schlüsselverwendung haben.

    Set-HgsClientHostKey
    

    Alternativ können Sie einen Fingerabdruck angeben, wenn Sie Ihr eigenes Zertifikat verwenden möchten. Dies kann nützlich sein, wenn Sie ein Zertifikat auf mehreren Computern freigeben oder ein Zertifikat verwenden möchten, das an ein TPM oder ein HSM gebunden ist. Hier ist ein Beispiel für die Erstellung eines TPM-gebundenen Zertifikats (das verhindert, dass der private Schlüssel gestohlen und auf einem anderen Computer verwendet wird und nur tpm 1.2 erforderlich ist):

    $tpmBoundCert = New-SelfSignedCertificate -Subject "Host Key Attestation ($env:computername)" -Provider "Microsoft Platform Crypto Provider"
    Set-HgsClientHostKey -Thumbprint $tpmBoundCert.Thumbprint
    
  4. Erhalten Sie die öffentliche Hälfte des Schlüssels, der dem HGS-Server zur Verfügung stehen soll. Sie können das folgende Cmdlet verwenden oder, wenn Sie das Zertifikat an anderer Stelle gespeichert haben, eine CER-Datei bereitstellen, die die öffentliche Hälfte des Schlüssels enthält. Beachten Sie, dass wir nur den öffentlichen Schlüssel im HGS speichern und überprüfen. Wir behalten keine Zertifikatinformationen bei und überprüfen auch nicht die Zertifikatkette oder das Ablaufdatum.

    Get-HgsClientHostKey -Path "C:\temp\$env:hostname-HostKey.cer"
    
  5. Kopieren Sie die CER-Datei auf Ihren HGS-Server.

Hinzufügen des Hostschlüssels zum Nachweisdienst

Dieser Schritt erfolgt auf dem HGS-Server und ermöglicht dem Host das Ausführen abgeschirmter VMs. Es wird empfohlen, den Namen auf den FQDN oder den Ressourcenbezeichner des Hostcomputers zu setzen, damit Sie problemlos auf den Host verweisen können, auf dem der Schlüssel installiert ist.

Add-HgsAttestationHostKey -Name MyHost01 -Path "C:\temp\MyHost01-HostKey.cer"

Nächster Schritt

Weitere Verweise