Zertifikate für HGS abrufenObtain certificates for HGS

Gilt für: Windows Server 2019, Windows Server (halbjährlicher Kanal), Windows Server 2016Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016

Beim Bereitstellen von HGS werden Sie aufgefordert, Signatur-und Verschlüsselungs Zertifikate bereitzustellen, die zum Schutz der vertraulichen Informationen verwendet werden, die zum Starten einer abgeschirmten VM benötigt werden.When you deploy HGS, you will be asked to provide signing and encryption certificates that are used to protect the sensitive information needed to start up a shielded VM. Diese Zertifikate verlassen niemals HGS und werden nur zum Entschlüsseln geschützter VM-Schlüssel verwendet, wenn der Host, auf dem Sie ausgeführt werden, bewiesen hat, dass Sie fehlerfrei ist.These certificates never leave HGS, and are only used to decrypt shielded VM keys when the host on which they're running has proven it is healthy. Mandanten (VM-Besitzer) verwenden die öffentliche Hälfte der Zertifikate, um Ihr Rechenzentrum zum Ausführen ihrer abgeschirmten VMS zu autorisieren.Tenants (VM owners) use the public half of the certificates to authorize your datacenter to run their shielded VMs. In diesem Abschnitt werden die erforderlichen Schritte zum Abrufen kompatibler Signatur-und Verschlüsselungs Zertifikate für HGS behandelt.This section covers the steps required to obtain compatible signing and encryption certificates for HGS.

Anfordern von Zertifikaten von Ihrer ZertifizierungsstelleRequest certificates from your certificate authority

Es ist zwar nicht erforderlich, aber es wird dringend empfohlen, dass Sie Ihre Zertifikate von einer vertrauenswürdigen Zertifizierungsstelle abrufen.While not required, it is strongly recommended that you obtain your certificates from a trusted certificate authority. Auf diese Weise können die VM-Besitzer überprüfen, ob Sie den richtigen HGS-Server (d. h. Dienstanbieter oder Datacenter) zum Ausführen ihrer abgeschirmten VMS autorisiert haben.Doing so helps VM owners verify that they are authorizing the correct HGS server (i.e. service provider or datacenter) to run their shielded VMs. In einem Unternehmens Szenario können Sie Ihre eigene Unternehmens Zertifizierungsstelle verwenden, um diese Zertifikate auszugeben.In an enterprise scenario, you may choose to use your own enterprise CA to issue these certs. Hoster und Dienstanbieter sollten stattdessen eine bekannte öffentliche Zertifizierungsstelle verwenden.Hosters and service providers should consider using a well-known, public CA instead.

Die Signatur-und Verschlüsselungs Zertifikate müssen mit den folgenden certificiate-Eigenschaften ausgestellt werden (es sei denn, Sie sind als "empfohlen" gekennzeichnet):Both the signing and encryption certificates must be issued with the following certificiate properties (unless marked "recommended"):

Zertifikat Vorlagen EigenschaftCertificate Template Property Erforderlicher WertRequired value
KryptografieanbieterCrypto provider Alle Schlüsselspeicher Anbieter (Key Storage Provider, KSP).Any Key Storage Provider (KSP). Ältere Kryptografiedienstanbieter (CSPs) werden nicht unterstützt.Legacy Cryptographic Service Providers (CSPs) are not supported.
Schlüssel AlgorithmusKey algorithm RSARSA
Minimale SchlüsselgrößeMinimum key size 2048 Bits2048 bits
Signatur AlgorithmusSignature algorithm Empfohlen: SHA256Recommended: SHA256
SchlüsselverwendungKey usage Digitale Signatur und DatenverschlüsselungDigital signature and data encipherment
Erweiterte Schlüssel VerwendungEnhanced key usage ServerauthentifizierungServer authentication
Richtlinie zur Schlüssel ErneuerungKey renewal policy Erneuern Sie mit demselben Schlüssel.Renew with the same key. Durch das Erneuern von HGS-Zertifikaten mit unterschiedlichen Schlüsseln wird verhindert, dass abgeschirmte VMS gestartet werden.Renewing HGS certificates with different keys will prevent shielded VMs from starting up.
AntragstellernameSubject name Empfohlen: Name oder Webadresse Ihres Unternehmens.Recommended: your company's name or web address. Diese Informationen werden den VM-Besitzern im Assistenten für die Schutz Datendatei angezeigt.This information will be shown to VM owners in the shielding data file wizard.

Diese Anforderungen gelten unabhängig davon, ob Sie Zertifikate verwenden, die von Hardware oder Software unterstützt werden.These requirements apply whether you are using certificates backed by hardware or software. Aus Sicherheitsgründen wird empfohlen, die HGS-Schlüssel in einem Hardware Sicherheitsmodul (HSM) zu erstellen, um zu verhindern, dass private Schlüssel vom System kopiert werden.For security reasons, it is recommended that you create your HGS keys in a Hardware Security Module (HSM) to prevent the private keys from being copied off the system. Befolgen Sie die Anweisungen des HSM-Anbieters, um Zertifikate mit den obigen Attributen anzufordern, und installieren und autorisieren Sie den HSM-KSP auf jedem HGS-Knoten.Follow the guidance from your HSM vendor to request certificates with the above attributes and be sure to install and authorize the HSM KSP on every HGS node.

Jeder HGS-Knoten benötigt Zugriff auf dieselben Signatur-und Verschlüsselungs Zertifikate.Every HGS node will require access to the same signing and encryption certificates. Wenn Sie softwaregestützte Zertifikate verwenden, können Sie Ihre Zertifikate in eine PFX-Datei mit einem Kennwort exportieren und zulassen, dass HGS die Zertifikate für Sie verwaltet.If you are using software-backed certificates, you can export your certificates to a PFX file with a password and allow HGS to manage the certificates for you. Sie haben auch die Möglichkeit, die Zertifikate im Zertifikat Speicher des lokalen Computers auf jedem HGS-Knoten zu installieren und den Fingerabdruck für HGS bereitzustellen.You can also choose to install the certs into the local machine's certificate store on each HGS node and provide the thumbprint to HGS. Beide Optionen werden im Thema Initialisieren des HGS-Clusters erläutert.Both options are explained in the Initialize the HGS Cluster topic.

Erstellen selbst signierter Zertifikate für TestszenarienCreate self signed certificates for test scenarios

Wenn Sie eine HGS-Lab-Umgebung erstellen und nicht über eine Zertifizierungsstelle verfügen oder diese verwenden möchten, können Sie selbst signierte Zertifikate erstellen.If you are creating an HGS lab environment and do not have or want to use a certificate authority, you can create self-signed certificates. Beim Importieren der Zertifikat Informationen im Assistenten für Schutz Datendateien wird eine Warnung angezeigt, aber alle Funktionen bleiben unverändert.You will receive a warning when importing the certificate information in the shielding data file wizard, but all functionality will remain the same.

Führen Sie die folgenden Befehle in PowerShell aus, um selbst signierte Zertifikate zu erstellen und in eine PFX-Datei zu exportieren:To create self-signed certificates and export them to a PFX file, run the following commands in PowerShell:

$certificatePassword = Read-Host -AsSecureString -Prompt "Enter a password for the PFX file"

$signCert = New-SelfSignedCertificate -Subject "CN=HGS Signing Certificate"
Export-PfxCertificate -FilePath .\signCert.pfx -Password $certificatePassword -Cert $signCert
Remove-Item $signCert.PSPath

$encCert = New-SelfSignedCertificate -Subject "CN=HGS Encryption Certificate"
Export-PfxCertificate -FilePath .\encCert.pfx -Password $certificatePassword -Cert $encCert
Remove-Item $encCert.PSPath

Anfordern eines SSL-ZertifikatsRequest an SSL certificate

Alle Schlüssel und vertraulichen Informationen, die zwischen Hyper-V-Hosts und HGS übertragen werden, werden auf der Nachrichten Ebene verschlüsselt, d. h., die Informationen werden mit Schlüsseln verschlüsselt, die HGS oder Hyper-v genannt werden, sodass jemand daran gehindert wird, den Netzwerk Datenverkehr zu übermitteln und Schlüssel zu stehlen für ihre VMs.All keys and sensitive information transmitted between Hyper-V hosts and HGS are encrypted at the message level -- that is, the information is encrypted with keys known either to HGS or Hyper-V, preventing someone from sniffing your network traffic and stealing keys to your VMs. Wenn Sie jedoch Kompatibilitätsanforderungen haben oder einfach die gesamte Kommunikation zwischen Hyper-V und HGS verschlüsseln möchten, können Sie HGS mit einem SSL-Zertifikat konfigurieren, mit dem alle Daten auf der Transport Ebene verschlüsselt werden.However, if you have compliance reqiurements or simply prefer to encrypt all communications between Hyper-V and HGS, you can configure HGS with an SSL certificate which will encrypt all data at the transport level.

Die Hyper-V-Hosts und HGS-Knoten müssen das von Ihnen bereitgestellte SSL-Zertifikat als vertrauenswürdig einstufen. Daher wird empfohlen, dass Sie das SSL-Zertifikat von Ihrer Unternehmens Zertifizierungsstelle anfordern.Both the Hyper-V hosts and HGS nodes will need to trust the SSL certificate you provide, so it is recommended that you request the SSL certificate from your enterprise certificate authority. Wenn Sie das Zertifikat anfordern, müssen Sie Folgendes angeben:When requesting the certificate, be sure to specify the following:

SSL-Zertifikat EigenschaftSSL Certificate Property Erforderlicher WertRequired value
AntragstellernameSubject name Der Name des HGS-Clusters (als Name des verteilten Netzwerks oder des FQDN des virtuellen Computer Objekts bezeichnet).Name of your HGS cluster (known as the distributed network name or virtual computer object FQDN). Dabei handelt es sich um die Verkettung Ihres HGS-Dienst namens, der für Initialize-HgsServer und ihren HGS-Domänen Namen angegeben wird.This will be the concatenation of your HGS service name provided to Initialize-HgsServer and your HGS domain name.
Alternativer Antragsteller NameSubject alternative name Wenn Sie einen anderen DNS-Namen verwenden, um Ihren HGS-Cluster zu erreichen (z. b. wenn er sich hinter einem Load Balancer befindet), müssen Sie diese DNS-Namen in das Feld San ihrer Zertifikat Anforderung einschließen.If you will be using a different DNS name to reach your HGS cluster (e.g. if it is behind a load balancer), be sure to include those DNS names in the SAN field of your certificate request.

Die Optionen zum Angeben dieses Zertifikats beim Initialisieren des HGS-Servers finden Sie unter Konfigurieren des ersten HGS-Knotens.The options for specifying this certificate when initializing the HGS server are covered in Configure the first HGS node. Sie können das SSL-Zertifikat auch zu einem späteren Zeitpunkt mit dem Cmdlet Set-hgsserver hinzufügen oder ändern.You can also add or change the SSL certificate at a later time using the Set-HgsServer cmdlet.

Nächster SchrittNext step