Installieren Sie vertrauenswürdige TPM-Stamm Zertifikate.Install trusted TPM root certificates

Gilt für: Windows Server 2019, Windows Server (halbjährlicher Kanal), Windows Server 2016Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016

Wenn Sie HGS für die Verwendung des TPM-Attestation konfigurieren, müssen Sie auch HGS so konfigurieren, dass Sie den Anbietern der TPMs auf Ihren Servern vertrauen.When you configure HGS to use TPM attestation, you also need to configure HGS to trust the vendors of the TPMs in your servers. Durch diesen zusätzlichen Überprüfungsprozess wird sichergestellt, dass nur echte vertrauenswürdige TPMs ihre HGS überzeugen können.This extra verification process ensures only authentic, trustworthy TPMs are able to attest with your HGS. Wenn Sie versuchen, ein nicht vertrauenswürdiges TPM bei Add-HgsAttestationTpmHost zu registrieren, erhalten Sie eine Fehlermeldung, die darauf hinweist, dass der TPM-Anbieter nicht vertrauenswürdig ist.If you try to register an untrusted TPM with Add-HgsAttestationTpmHost, you will receive an error indicating the TPM vendor is untrusted.

Um den TPMs zu vertrauen, müssen die Stamm-und zwischen Signatur Zertifikate, die zum Signieren des Endorsement Key in den TPMs Ihres Servers verwendet werden, auf HGS installiert werden.To trust your TPMs, the root and intermediate signing certificates used to sign the endorsement key in your servers' TPMs need to be installed on HGS. Wenn Sie in Ihrem Daten Center mehr als ein TPM-Modell verwenden, müssen Sie möglicherweise verschiedene Zertifikate für jedes Modell installieren.If you use more than one TPM model in your datacenter, you may need to install different certificates for each model. HGS werden in den Zertifikat speichern "TrustedTPM_RootCA" und "TrustedTPM_IntermediateCA" für die Zertifikate des Anbieters angezeigt.HGS will look in the "TrustedTPM_RootCA" and "TrustedTPM_IntermediateCA" certificate stores for the vendor certificates.

Hinweis

Die TPM-herstellerzertifikate unterscheiden sich von den standardmäßig in Windows installierten Stamm-und zwischen Zertifikaten, die von TPM-Anbietern verwendet werden.The TPM vendor certificates are different from those installed by default in Windows and represent the specific root and intermediate certificates used by TPM vendors.

Eine Sammlung vertrauenswürdiger TPM-Stamm-und zwischen Zertifikate wird von Microsoft zur einfacheren Veröffentlichung veröffentlicht.A collection of trusted TPM root and intermediate certificates is published by Microsoft for your convenience. Mithilfe der nachfolgenden Schritte können Sie diese Zertifikate installieren.You can use the steps below to install these certificates. Wenn Ihre TPM-Zertifikate nicht im folgenden Paket enthalten sind, wenden Sie sich an den TPM-Hersteller oder den OEM-Server, um die Stamm-und zwischen Zertifikate für ihr bestimmtes TPM-Modell zu erhalten.If your TPM certificates are not included in the package below, contact your TPM vendor or server OEM to obtain the root and intermediate certificates for your specific TPM model.

Wiederholen Sie die folgenden Schritte auf jedem HGS-Server:Repeat the following steps on every HGS server:

  1. Laden Sie das neueste Paket von https://go.microsoft.com/fwlink/?linkid=2097925herunter.Download the latest package from https://go.microsoft.com/fwlink/?linkid=2097925.

  2. Überprüfen Sie die Signatur der CAB-Datei, um ihre Echtheit sicherzustellen.Verify the signature of the cab file to ensure its authenticity. Fahren Sie nicht fort, wenn die Signatur ungültig ist.Do not proceed if the signature is not valid.

    Get-AuthenticodeSignature .\TrustedTpm.cab
    

    Ausgabebeispiel:Here's some example output:

    Directory: C:\Users\Administrator\Downloads
    
    SignerCertificate                         Status                                 Path
    -----------------                         ------                                 ----
    0DD6D4D4F46C0C7C2671962C4D361D607E370940  Valid                                  TrustedTpm.cab
    
  3. Erweitern Sie die CAB-Datei.Expand the cab file.

    mkdir .\TrustedTPM
    expand.exe -F:* <Path-To-TrustedTpm.cab> .\TrustedTPM
    
  4. Standardmäßig installiert das Konfigurationsskript Zertifikate für jeden TPM-Anbieter.By default, the configuration script will install certificates for every TPM vendor. Wenn Sie nur Zertifikate für Ihren spezifischen TPM-Hersteller importieren möchten, löschen Sie die Ordner für TPM-Anbieter, die von Ihrer Organisation nicht als vertrauenswürdig eingestuft werden.If you only want to import certificates for your specific TPM vendor, delete the folders for TPM vendors not trusted by your organization.

  5. Installieren Sie das vertrauenswürdige Zertifikat Paket durch Ausführen des Setup Skripts im erweiterten Ordner.Install the trusted certificate package by running the setup script in the expanded folder.

    cd .\TrustedTPM
    .\setup.cmd
    

Wenn Sie neue Zertifikate hinzufügen oder diese bei einer früheren Installation absichtlich übersprungen haben, wiederholen Sie einfach die oben beschriebenen Schritte auf jedem Knoten in Ihrem HGS-Cluster.To add new certificates or ones intentionally skipped during an earlier installation, simply repeat the above steps on every node in your HGS cluster. Vorhandene Zertifikate bleiben vertrauenswürdig, aber der vertrauenswürdigen TPM-Speicher werden neue Zertifikate in der erweiterten CAB-Datei hinzugefügt.Existing certificates will remain trusted but new certificates found in the expanded cab file will be added to the trusted TPM stores.

Nächster SchrittNext step