在现有堡垒林中使用 TPM 模式初始化 HGS 群集

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

Active Directory 域服务将安装在计算机上,但应保留未配置。

找到您的 HGS 监护人证书。 你将需要一个签名证书和一个加密证书来初始化 HGS 群集。 向 HGS 提供证书的最简单方法是为每个包含公钥和私钥的证书创建受密码保护的 PFX 文件。 如果使用 HSM 支持的密钥或其他不可导出的证书,请确保在继续操作之前将证书安装到本地计算机的证书存储中。 有关要使用的证书的详细信息,请参阅 获取 HGS 证书

继续之前,请确保已为主机保护者服务预留群集对象,并授予已登录的用户对 Active Directory 中的 VCO 和 CNO 对象的 完全控制 权限。 需要将虚拟计算机对象名称传递给 -HgsServiceName 参数,并将群集名称传递给 -ClusterName 参数。

提示

请仔细检查 AD 域控制器,确保群集对象已复制到所有 Dc,然后再继续。

如果使用的是基于 PFX 的证书,请在 HGS 服务器上运行以下命令:

$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"

Install-ADServiceAccount -Identity 'HGSgMSA'

Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustTpm

如果使用本地计算机上安装的证书 (例如 HSM 支持的证书和不可导出的证书) ,请 -SigningCertificateThumbprint-EncryptionCertificateThumbprint 改用和参数。

后续步骤