Abrufen von Zertifikaten für die Host-ÜberwachungsdienstObtain certificates for HGS

Gilt für: WindowsServer 2019, WindowsServer (Halbjährlicher Kanal), WindowsServer 2016Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016

Wenn Sie Host-Überwachungsdienst bereitstellen, werden Sie aufgefordert, Signatur-und Verschlüsselungszertifikate bereitzustellen, die verwendet werden, um die vertraulichen Informationen, die zum Starten einer abgeschirmten VMs benötigt zu schützen.When you deploy HGS, you will be asked to provide signing and encryption certificates that are used to protect the sensitive information needed to start up a shielded VM. Diese Zertifikate nicht behalten Sie die Host-Überwachungsdienst und dienen nur zum Entschlüsseln, die abgeschirmte VM-Schlüssel, wenn der Host, auf dem sie ausgeführt werden, dass sie fehlerfrei ist bewährt hat.These certificates never leave HGS, and are only used to decrypt shielded VM keys when the host on which they're running has proven it is healthy. Mandanten (VM-Besitzer) verwenden, der öffentliche Hälfte der Zertifikate zum Autorisieren von Ihres Rechenzentrums auf die abgeschirmte VMs ausführen.Tenants (VM owners) use the public half of the certificates to authorize your datacenter to run their shielded VMs. Dieser Abschnitt enthält die erforderlichen Schritte zum kompatibel Zertifikate für Signierung und Verschlüsselung für Host-Überwachungsdiensts zu erhalten.This section covers the steps required to obtain compatible signing and encryption certificates for HGS.

Anfordern von Zertifikaten von Ihrer ZertifizierungsstelleRequest certificates from your certificate authority

Zwar nicht erforderlich, wird dringend empfohlen, dass Sie Ihre Zertifikate von einer vertrauenswürdigen Zertifizierungsstelle abrufen.While not required, it is strongly recommended that you obtain your certificates from a trusted certificate authority. Auf diese Weise können VM-Besitzer, stellen Sie sicher, dass sie den richtigen Host-Überwachungsdienst-Server (d. h. Dienstanbieter oder Rechenzentrum) zum Ausführen ihrer geschützter VMs autorisiert sind.Doing so helps VM owners verify that they are authorizing the correct HGS server (i.e. service provider or datacenter) to run their shielded VMs. In einem Unternehmensszenario können Sie Ihre eigenen Unternehmens-ZS zu verwenden, um diese Zertifikate ausstellen.In an enterprise scenario, you may choose to use your own enterprise CA to issue these certs. Verwenden Sie stattdessen eine bekannte, öffentliche Zertifizierungsstelle sollten gewährt Hostern und Dienstanbieter.Hosters and service providers should consider using a well-known, public CA instead.

Signatur-und Verschlüsselungszertifikate müssen mit den folgenden Certificiate Eigenschaften ausgegeben werden (es sei denn, die "empfohlenen" gekennzeichnet):Both the signing and encryption certificates must be issued with the following certificiate properties (unless marked "recommended"):

Zertifikat-Template-EigenschaftCertificate Template Property Erforderlicher WertRequired value
KryptografieanbieterCrypto provider Alle Schlüsselspeicheranbieter (KSP).Any Key Storage Provider (KSP). Ältere Kryptografiedienstanbieter (CSPs) sind nicht unterstützt.Legacy Cryptographic Service Providers (CSPs) are not supported.
SchlüsselalgorithmusKey algorithm RSARSA
Minimale SchlüsselgrößeMinimum key size 2048 Bit2048 bits
SignaturalgorithmusSignature algorithm Empfohlen: SHA256Recommended: SHA256
SchlüsselverwendungKey usage Digitale Signatur und datenverschlüsselungDigital signature and data encipherment
Erweiterte SchlüsselverwendungEnhanced key usage ServerauthentifizierungServer authentication
Erneuerung des Schlüssels-RichtlinieKey renewal policy Mit dem gleichen Schlüssel erneuern.Renew with the same key. Erneuern von Host-Überwachungsdienst-Zertifikaten mit unterschiedlichen Schlüsseln wird verhindert, dass geschützte VMs gestartet.Renewing HGS certificates with different keys will prevent shielded VMs from starting up.
AntragstellernameSubject name Empfohlen: die Adresse des Unternehmens oder eine Webadressen.Recommended: your company's name or web address. Diese Informationen werden VM-Besitzer in den Assistenten zum geschützten Daten angezeigt.This information will be shown to VM owners in the shielding data file wizard.

Diese Anforderungen gelten, ob Sie Zertifikate, gesichert durch Hardware oder Software verwenden.These requirements apply whether you are using certificates backed by hardware or software. Aus Sicherheitsgründen empfiehlt es sich, dass Sie Ihr HGS-Schlüssel in einem Hardwaresicherheitsmodul (HSM) zu verhindern, dass der private Schlüssel aus dem System kopiert erstellen.For security reasons, it is recommended that you create your HGS keys in a Hardware Security Module (HSM) to prevent the private keys from being copied off the system. Befolgen Sie die Anweisungen aus den HSM-Anbieter zum Anfordern von Zertifikaten mit der oben genannten Attribute aus, und achten Sie darauf, dass Sie zum Installieren und autorisieren das HSM KSP auf jedem Host-Überwachungsdienst-Knoten.Follow the guidance from your HSM vendor to request certificates with the above attributes and be sure to install and authorize the HSM KSP on every HGS node.

Jeder Host-Überwachungsdienst-Knoten benötigen Zugriff auf die gleiche Signierung und Verschlüsselungszertifikate.Every HGS node will require access to the same signing and encryption certificates. Wenn Sie Software-Zertifikate verwenden, können exportieren Ihre Zertifikate in eine PFX-Datei mit einem Kennwort und Host-Überwachungsdienst, der Zertifikate für die Sie verwalten können.If you are using software-backed certificates, you can export your certificates to a PFX file with a password and allow HGS to manage the certificates for you. Sie können auch auswählen, zum Installieren der Zertifikate in den Zertifikatspeicher des lokalen Computers, auf jedem Host-Überwachungsdienst-Knoten, und geben Sie den Fingerabdruck, Host-Überwachungsdienst.You can also choose to install the certs into the local machine's certificate store on each HGS node and provide the thumbprint to HGS. Beide Optionen werden in erläutert die initialisiert den Host-Überwachungsdienst Cluster Thema.Both options are explained in the Initialize the HGS Cluster topic.

Erstellen Sie selbstsignierte Zertifikate für TestszenarienCreate self signed certificates for test scenarios

Wenn Sie eine Host-Überwachungsdienst-Lab-Umgebung erstellen und führen Sie nicht haben oder eine Zertifizierungsstelle verwenden möchten, können Sie selbstsignierte Zertifikate erstellen.If you are creating an HGS lab environment and do not have or want to use a certificate authority, you can create self-signed certificates. Sie erhalten eine Warnung auf, wenn die Zertifikatinformationen in den Assistenten zum geschützten Daten zu importieren, aber die gesamte Funktionalität bleibt gleich.You will receive a warning when importing the certificate information in the shielding data file wizard, but all functionality will remain the same.

Zum Erstellen selbstsignierter Zertifikate, und in eine PFX-Datei exportieren, führen Sie die folgenden Befehle in PowerShell aus:To create self-signed certificates and export them to a PFX file, run the following commands in PowerShell:

$certificatePassword = Read-Host -AsSecureString -Prompt "Enter a password for the PFX file"

$signCert = New-SelfSignedCertificate -Subject "CN=HGS Signing Certificate"
Export-PfxCertificate -FilePath .\signCert.pfx -Password $certificatePassword -Cert $signCert
Remove-Item $signCert.PSPath

$encCert = New-SelfSignedCertificate -Subject "CN=HGS Encryption Certificate"
Export-PfxCertificate -FilePath .\encCert.pfx -Password $certificatePassword -Cert $encCert
Remove-Item $encCert.PSPath

Fordern Sie ein SSL-ZertifikatRequest an SSL certificate

Alle Schlüssel und vertrauliche Informationen übertragen werden, zwischen Hyper-V-Hosts und -Host-Überwachungsdiensts werden verschlüsselt, auf der Nachrichtenebene –, also die Informationen werden mit den Schlüsseln, die bekannte zur Host-Überwachungsdienst oder Hyper-V verwendet wird, die verhindern, dass andere sniffing Ihres Netzwerkdatenverkehrs und Diebstahl von Schlüsseln verschlüsselt für Ihre virtuellen Computer.All keys and sensitive information transmitted between Hyper-V hosts and HGS are encrypted at the message level -- that is, the information is encrypted with keys known either to HGS or Hyper-V, preventing someone from sniffing your network traffic and stealing keys to your VMs. Jedoch wenn Sie Kompatibilität Reqiurements haben oder einfach die gesamte Kommunikation zwischen Hyper-V und Host-Überwachungsdienst verschlüsseln möchten, können Sie Host-Überwachungsdienst mit einem SSL-Zertifikat konfigurieren, die alle Daten auf der Transportebene verschlüsselt wird.However, if you have compliance reqiurements or simply prefer to encrypt all communications between Hyper-V and HGS, you can configure HGS with an SSL certificate which will encrypt all data at the transport level.

Sowohl die Host-Überwachungsdienst-Knoten die Hyper-V-Hosts müssen die SSL-Zertifikat, die, das Sie bereitstellen, das vertrauen, daher wird empfohlen, dass Sie das SSL-Zertifikat von Ihrer Unternehmenszertifizierungsstelle anfordern.Both the Hyper-V hosts and HGS nodes will need to trust the SSL certificate you provide, so it is recommended that you request the SSL certificate from your enterprise certificate authority. Wenn Sie das Zertifikat anfordern möchten, achten Sie darauf, dass Sie Folgendes angeben:When requesting the certificate, be sure to specify the following:

SSL-Zertifikat-EigenschaftSSL Certificate Property Erforderlicher WertRequired value
AntragstellernameSubject name Der Name Ihres Clusters Host-Überwachungsdienst (distributed Network Name).Name of your HGS cluster (distributed network name). Hier werden die Verkettung der Namen des Host-Überwachungsdienst-Diensts bereitgestellt, um Initialize-HgsServer sowie Ihren HGS-Domänennamen ein.This will be the concatenation of your HGS service name provided to Initialize-HgsServer and your HGS domain name.
Alternativer AntragstellernameSubject alternative name Wenn Sie einen anderen DNS-Namen verwenden, erreichen Ihr HGS-Cluster (z. B. wenn er sich hinter einem Load Balancer befindet), achten Sie darauf, dass Sie diese DNS-Namen in das SAN-Feld, der die zertifikatanforderung eingeschlossen.If you will be using a different DNS name to reach your HGS cluster (e.g. if it is behind a load balancer), be sure to include those DNS names in the SAN field of your certificate request.

Die Optionen zum Festlegen dieses Zertifikats, bei der Initialisierung des HGS-Servers finden Sie im konfigurieren Sie den ersten Knoten für den Host-Überwachungsdienst.The options for specifying this certificate when initializing the HGS server are covered in Configure the first HGS node. Sie können auch hinzufügen oder ändern Sie das SSL-Zertifikat zu einem späteren Zeitpunkt mithilfe der Set-HgsServer Cmdlet.You can also add or change the SSL certificate at a later time using the Set-HgsServer cmdlet.

Nächster SchrittNext step