Installare certificati radice con attendibilità TPM

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Quando si configura HGS per l'uso dell'attestazione TPM, è anche necessario configurare HGS per considerare attendibili i fornitori dei TPM nei server. Questo processo di verifica aggiuntivo garantisce che solo i TPM autentici e attendibili siano in grado di attestare con il servizio HGS. Se si tenta di registrare un TPM non attendibile con Add-HgsAttestationTpmHost, si riceverà un errore che indica che il fornitore TPM non è attendibile.

Per considerare attendibili i TPM, i certificati di firma radice e intermedi usati per firmare la chiave di verifica dell'autenticità nei TPM dei server devono essere installati in HGS. Se si usano più modelli TPM nel data center, potrebbe essere necessario installare certificati diversi per ogni modello. HGS cercherà gli archivi certificati "TrustedTPM_RootCA" e "TrustedTPM_IntermediateCA" per i certificati del fornitore.

Nota

I certificati del fornitore TPM sono diversi da quelli installati per impostazione predefinita in Windows e rappresentano i certificati radice e intermedi specifici usati dai fornitori TPM.

Una raccolta di certificati radice e intermedi TPM attendibili viene pubblicata per comodità da Microsoft. È possibile usare la procedura seguente per installare questi certificati. Se i certificati TPM non sono inclusi nel pacchetto seguente, contattare il fornitore o l'OEM del server TPM per ottenere i certificati radice e intermedi per il modello TPM specifico.

Ripetere i passaggi seguenti in ogni server HGS:

  1. Scarica il pacchetto più recente da https://go.microsoft.com/fwlink/?linkid=2097925.

  2. Verificare la firma del file CAB per verificarne l'autenticità. Non procedere se la firma non è valida.

    Get-AuthenticodeSignature .\TrustedTpm.cab

    Ecco un esempio di output:

    Directory: C:\Users\Administrator\Downloads

SignerCertificate                         Status                                 Path
-----------------                         ------                                 ----
0DD6D4D4F46C0C7C2671962C4D361D607E370940  Valid                                  TrustedTpm.cab

  3. Espandere il file CAB.

    mkdir .\TrustedTPM
expand.exe -F:* <Path-To-TrustedTpm.cab> .\TrustedTPM

  4. Per impostazione predefinita, lo script di configurazione installerà i certificati per ogni fornitore TPM. Se si vogliono importare certificati solo per il fornitore TPM specifico, eliminare le cartelle per i fornitori TPM non considerati attendibili dall'organizzazione.

  5. Per installare il pacchetto di certificati attendibili eseguire lo script di installazione nella cartella espansa.

    cd .\TrustedTPM
.\setup.cmd

Per aggiungere nuovi certificati o quelli ignorati intenzionalmente durante un'installazione precedente, è sufficiente ripetere i passaggi precedenti in ogni nodo del cluster HGS. I certificati esistenti rimarranno attendibili, ma i nuovi certificati trovati nel file CAB espanso verranno aggiunti agli archivi TPM attendibili.

Passaggio successivo

Configurare il DNS di infrastruttura