신뢰할 수 있는 TPM 루트 인증서 설치

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

TPM 증명을 사용하도록 HGS를 구성하는 경우 서버에서 TPM 공급업체를 신뢰하도록 HGS를 구성해야 합니다. 이 추가 확인 프로세스를 통해 신뢰할 수 있는 인증된 TPM만 HGS로 증명할 수 있습니다. 신뢰할 수 없는 TPM을 등록하려고 하면 TPM Add-HgsAttestationTpmHost공급업체가 신뢰할 수 없음을 나타내는 오류가 표시됩니다.

TPM을 신뢰하려면 서버의 TPM에서 인증 키에 서명하는 데 사용되는 루트 및 중간 서명 인증서를 HGS에 설치해야 합니다. 데이터 센터에서 둘 이상의 TPM 모델을 사용하는 경우 각 모델에 대해 서로 다른 인증서를 설치해야 할 수 있습니다. HGS는 공급업체 인증서에 대한 "TrustedTPM_RootCA" 및 "TrustedTPM_IntermediateCA" 인증서 저장소를 살펴봅니다.

참고 항목

TPM 공급업체 인증서는 Windows에 기본적으로 설치된 인증서와 다르며 TPM 공급업체에서 사용하는 특정 루트 및 중간 인증서를 나타냅니다.

Microsoft는 사용자의 편의를 위해 신뢰할 수 있는 TPM 루트 및 중간 인증서 컬렉션을 게시합니다. 아래 단계를 사용하여 이러한 인증서를 설치할 수 있습니다. TPM 인증서가 아래 패키지에 포함되지 않은 경우 TPM 공급업체 또는 서버 OEM에 문의하여 특정 TPM 모델에 대한 루트 및 중간 인증서를 가져옵니다.

모든 HGS 서버에서 다음 단계를 반복합니다.

1. 에서 https://go.microsoft.com/fwlink/?linkid=2097925최신 패키지를 다운로드합니다.

2. cab 파일의 서명을 확인하여 신뢰성을 확인합니다. 서명이 유효하지 않은 경우 진행하지 마세요.

   Get-AuthenticodeSignature .\TrustedTpm.cab
   

   다음은 몇 가지 출력 예입니다.

   Directory: C:\Users\Administrator\Downloads
   
   SignerCertificate                         Status                                 Path
   -----------------                         ------                                 ----
   0DD6D4D4F46C0C7C2671962C4D361D607E370940  Valid                                  TrustedTpm.cab
   

3. cab 파일을 확장합니다.

   mkdir .\TrustedTPM
   expand.exe -F:* <Path-To-TrustedTpm.cab> .\TrustedTPM
   

4. 기본적으로 구성 스크립트는 모든 TPM 공급업체에 대한 인증서를 설치합니다. 특정 TPM 공급업체에 대한 인증서만 가져오려면 조직에서 신뢰하지 않는 TPM 공급업체의 폴더를 삭제합니다.

5. 확장된 폴더에서 설치 스크립트를 실행하여 신뢰할 수 있는 인증서 패키지를 설치합니다.

   cd .\TrustedTPM
   .\setup.cmd
   

이전 설치 중에 의도적으로 건너뛴 새 인증서 또는 인증서를 추가하려면 HGS 클러스터의 모든 노드에서 위의 단계를 반복하면 됩니다. 기존 인증서는 기본 신뢰할 수 있지만 확장된 cab 파일에 있는 새 인증서는 신뢰할 수 있는 TPM 저장소에 추가됩니다.

다음 단계

패브릭 DNS 구성