ホストキーを作成して HGS に追加するCreate a host key and add it to HGS

適用対象:Windows Server 2019Applies to: Windows Server 2019

このトピックでは、ホストキーの構成証明 (キーモード) を使用して、保護されたホストになるように Hyper-v ホストを準備する方法について説明します。This topic covers how to prepare Hyper-V hosts to become guarded hosts using host key attestation (Key mode). ホストキーペアを作成し (または既存の証明書を使用して)、キーの公開半分を HGS に追加します。You'll create a host key pair (or use an existing certificate) and add the public half of the key to HGS.

ホストキーを作成するCreate a host key

  1. Hyper-v ホストコンピューターに Windows Server 2019 をインストールします。Install Windows Server 2019 on your Hyper-V host machine.

  2. Hyper-v および Host Guardian Hyper-v サポート機能をインストールします。Install the Hyper-V and Host Guardian Hyper-V Support features:

    Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
    
  3. ホストキーを自動的に生成するか、既存の証明書を選択します。Generate a host key automatically, or select an existing certificate. カスタム証明書を使用している場合は、少なくとも2048ビットの RSA キー、クライアント認証 EKU、およびデジタル署名キーの使用が必要です。If you are using a custom certificate, it should have at least a 2048-bit RSA key, Client Authentication EKU, and Digital Signature key usage.

    Set-HgsClientHostKey
    

    また、独自の証明書を使用する場合は、拇印を指定することもできます。Alternatively, you can specify a thumbprint if you want to use your own certificate. これは、複数のコンピューターで証明書を共有する場合や、TPM または HSM にバインドされた証明書を使用する場合に便利です。This can be useful if you want to share a certificate across multiple machines, or use a certificate bound to a TPM or an HSM. 次に、TPM バインド証明書を作成する例を示します。これにより、秘密キーが盗まれて別のコンピューターで使用され、TPM 1.2 のみが必要になります。Here's an example of creating a TPM-bound certificate (which prevents it from having the private key stolen and used on another machine and requires only a TPM 1.2):

    $tpmBoundCert = New-SelfSignedCertificate -Subject "Host Key Attestation ($env:computername)" -Provider "Microsoft Platform Crypto Provider"
    Set-HgsClientHostKey -Thumbprint $tpmBoundCert.Thumbprint
    
  4. HGS サーバーに提供するキーの公開半分を取得します。Get the public half of the key to provide to the HGS server. 次のコマンドレットを使用するか、証明書が別の場所に格納されている場合は、キーの公開半分を含む .cer を指定します。You can use the following cmdlet or, if you have the certificate stored elsewhere, provide a .cer containing the public half of the key. HGS では公開キーの保存と検証のみを行っていることに注意してください。証明書の情報は保持されず、証明書チェーンや有効期限も検証されません。Note that we are only storing and validating the public key on HGS; we do not keep any certificate information nor do we validate the certificate chain or expiration date.

    Get-HgsClientHostKey -Path "C:\temp\$env:hostname-HostKey.cer"
    
  5. .Cer ファイルを HGS サーバーにコピーします。Copy the .cer file to your HGS server.

構成証明サービスにホストキーを追加するAdd the host key to the attestation service

この手順は、HGS サーバーで実行され、ホストがシールドされた Vm を実行できるようにします。This step is done on the HGS server and allows the host to run shielded VMs. 名前はホストコンピューターの FQDN またはリソース識別子に設定することをお勧めします。これにより、キーがインストールされているホストを簡単に参照できるようになります。It is recommended that you set the name to the FQDN or resource identifier of the host machine, so you can easily refer to which host the key is installed on.

Add-HgsAttestationHostKey -Name MyHost01 -Path "C:\temp\MyHost01-HostKey.cer"

次の手順Next step

その他の参照情報Additional References