Creación de una clave de host y adición a HGS

Se aplica a: Windows Server 2022, Windows Server 2019

En este tema se describe cómo preparar los hosts de Hyper-V para que se conviertan en hosts de protección mediante la atestación de clave de host (modo de clave). Creará un par de claves de host (o usará un certificado existente) y agregará la mitad pública de la clave a HGS.

Creación de una clave de host

  1. Instale Windows Server 2019 en la máquina host de Hyper-V.

  2. Instale las características de compatibilidad de Hyper-V y protección de host de Hyper-V:

    Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
    
  3. Genere una clave de host automáticamente o seleccione un certificado existente. Si usa un certificado personalizado, debe tener al menos una clave RSA de 2048 bits, un EKU de autenticación de cliente y un uso de clave de firma digital.

    Set-HgsClientHostKey
    

    Como alternativa, puede especificar una huella digital si desea usar su propio certificado. Esto puede ser útil si desea compartir un certificado entre varias máquinas o usar un certificado enlazado a un TPM o un HSM. Este es un ejemplo de creación de un certificado enlazado a TPM (que evita que se le roba la clave privada y se usa en otra máquina y solo requiere un TPM 1.2):

    $tpmBoundCert = New-SelfSignedCertificate -Subject "Host Key Attestation ($env:computername)" -Provider "Microsoft Platform Crypto Provider"
    Set-HgsClientHostKey -Thumbprint $tpmBoundCert.Thumbprint
    
  4. Obtenga la mitad pública de la clave que se proporcionará al servidor HGS. Puede usar el siguiente cmdlet o, si tiene el certificado almacenado en otro lugar, proporcionar un archivo .cer que contenga la mitad pública de la clave. Tenga en cuenta que solo almacenamos y validamos la clave pública en HGS; no se mantiene ninguna información de certificado ni se valida la cadena de certificados o la fecha de expiración.

    Get-HgsClientHostKey -Path "C:\temp\$env:hostname-HostKey.cer"
    
  5. Copie el archivo .cer en el servidor HGS.

Adición de la clave de host al servicio de atestación

Este paso se realiza en el servidor HGS y permite al host ejecutar máquinas virtuales blindadas. Se recomienda establecer el nombre en el FQDN o identificador de recurso del equipo host, para que pueda hacer referencia fácilmente al host en el que está instalada la clave.

Add-HgsAttestationHostKey -Name MyHost01 -Path "C:\temp\MyHost01-HostKey.cer"

Paso siguiente

Referencias adicionales