创建主机密钥并将其添加到 HGS

适用于:Windows Server 2022、Windows Server 2019

本主题介绍如何准备 Hyper-V 主机,以在密钥模式下使用主机密钥证明 (成为) 。 你将创建一个主机密钥对 (或使用现有的证书) 将密钥的公共一半添加到 HGS。

创建主机密钥

  1. 在 Hyper-V Windows计算机上安装 Windows Server 2019。

  2. 安装 Hyper-V 和主机保护者 Hyper-V 支持功能:

    Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
    
  3. 自动生成主机密钥,或选择现有证书。 如果使用自定义证书,则它应至少具有 2048 位 RSA 密钥、客户端身份验证 EKU 和数字签名密钥用法。

    Set-HgsClientHostKey
    

    或者,如果要使用自己的证书,可以指定指纹。 如果要跨多台计算机共享证书,或者使用绑定到 TPM 或 HSM 的证书,这非常有用。 以下示例创建 TPM 绑定的证书 (防止私钥被盗并在另一计算机上使用,并且只需要 TPM 1.2) :

    $tpmBoundCert = New-SelfSignedCertificate -Subject "Host Key Attestation ($env:computername)" -Provider "Microsoft Platform Crypto Provider"
    Set-HgsClientHostKey -Thumbprint $tpmBoundCert.Thumbprint
    
  4. 获取要向 HGS 服务器提供的密钥的公用部分。 可以使用以下 cmdlet,或者,如果证书存储在其他位置,请提供包含密钥公共一半的 .cer。 请注意,我们仅在 HGS 上存储和验证公钥;我们不保留任何证书信息,也不验证证书链或到期日期。

    Get-HgsClientHostKey -Path "C:\temp\$env:hostname-HostKey.cer"
    
  5. 将 .cer 文件复制到 HGS 服务器。

将主机密钥添加到证明服务

此步骤在 HGS 服务器上完成,并允许主机运行受到防护的 VM。 建议将名称设置为主机的 FQDN 或资源标识符,以便可以轻松引用安装了密钥的主机。

Add-HgsAttestationHostKey -Name MyHost01 -Path "C:\temp\MyHost01-HostKey.cer"

后续步骤

其他参考