Instalar certificados raiz do TPM confiáveis

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Ao configurar o HGS para usar o atestado TPM, você também precisará configurar o HGS para confiar nos fornecedores dos TPMs em seus servidores. Com esse processo de verificação extra, garante-se que apenas TPMs autênticos e confiáveis sejam capazes de atestar com seu HGS. Se tentar registrar um TPM não confiável com Add-HgsAttestationTpmHost, você receberá um erro indicando que o fornecedor do TPM não é confiável.

Para confiar em seus TPMs, os certificados de assinatura raiz e intermediários usados para assinar a chave de endosso nos TPMs dos servidores precisam estar instalados no HGS. Caso use mais de um modelo TPM em seu datacenter, talvez seja necessário instalar certificados diferentes para cada modelo. O HGS procurará os repositórios de certificados "TrustedTPM_RootCA" e "TrustedTPM_IntermediateCA" dos certificados do fornecedor.

Observação

Os certificados do fornecedor do TPM são diferentes daqueles instalados por padrão no Windows e representam os certificados raiz e intermediário específicos usados pelos fornecedores do TPM.

Há uma coleção de certificados raiz e intermediários confiáveis do TPM publicada pela Microsoft para sua conveniência. Você pode usar as etapas abaixo para instalar esses certificados. Se os certificados do TPM não estiverem incluídos no pacote abaixo, entre em contato com o fornecedor do TPM ou com o OEM do servidor para obter os certificados raiz e intermediários para seu modelo TPM específico.

Repita as seguintes etapas em todos os servidores HGS:

  1. Baixe o pacote mais recente em https://go.microsoft.com/fwlink/?linkid=2097925.

  2. Verifique a assinatura do arquivo cab para garantir sua autenticidade. Não prossiga se a assinatura não for válida.

    Get-AuthenticodeSignature .\TrustedTpm.cab

    Veja a seguir um exemplo de saída:

    Directory: C:\Users\Administrator\Downloads

SignerCertificate                         Status                                 Path
-----------------                         ------                                 ----
0DD6D4D4F46C0C7C2671962C4D361D607E370940  Valid                                  TrustedTpm.cab

  3. Expanda o arquivo cab.

    mkdir .\TrustedTPM
expand.exe -F:* <Path-To-TrustedTpm.cab> .\TrustedTPM

  4. Por padrão, o script de configuração instalará certificados para cada fornecedor do TPM. Se quiser importar apenas certificados para seu fornecedor de TPM específico, exclua as pastas de fornecedores de TPM não confiáveis pela sua organização.

  5. Instale o pacote de certificado confiável executando o script de instalação na pasta expandida.

    cd .\TrustedTPM
.\setup.cmd

Para adicionar novos certificados ou aqueles ignorados intencionalmente durante uma instalação anterior, basta repetir as etapas acima em cada nó no cluster do HGS. Os certificados existentes permanecerão confiáveis, mas novos certificados encontrados no arquivo cab expandido serão adicionados aos repositórios de TPM confiáveis.

Próxima etapa

Configurar DNS da malha