建立主機金鑰,並將它新增至 HGS

適用于: Windows server 2022、Windows Server 2019

本主題說明如何使用主機金鑰證明,將 Hyper-v 主機準備成為受防護主機 (金鑰模式) 。 您將 (建立主機金鑰組,或使用現有的憑證) 並將公開金鑰的一半新增至 HGS。

建立主機金鑰

  1. 在您的 hyper-v 主機電腦上安裝 Windows Server 2019。

  2. 安裝 Hyper-v 和主機守護者 Hyper-v 支援功能:

    Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
    
  3. 自動產生主機金鑰,或選取現有的憑證。 如果您使用自訂憑證,它應該至少有2048位 RSA 金鑰、用戶端驗證 EKU 和數位簽章金鑰使用方式。

    Set-HgsClientHostKey
    

    或者,如果您想要使用自己的憑證,可以指定指紋。 如果您想要在多部電腦之間共用憑證,或使用系結至 TPM 或 HSM 的憑證,這項功能就很有用。 以下是建立 TPM 系結憑證的範例 (防止私密金鑰遭竊並在另一部電腦上使用,而且只需要 TPM 1.2) :

    $tpmBoundCert = New-SelfSignedCertificate -Subject "Host Key Attestation ($env:computername)" -Provider "Microsoft Platform Crypto Provider"
    Set-HgsClientHostKey -Thumbprint $tpmBoundCert.Thumbprint
    
  4. 取得金鑰的公開一半,以提供給 HGS 伺服器。 您可以使用下列 Cmdlet,或者,如果您的憑證儲存在其他位置,請提供包含金鑰之公開部分的 .cer。 請注意,我們只會在 HGS 儲存和驗證公開金鑰;我們不會保留任何憑證資訊,也不會驗證憑證鏈或到期日。

    Get-HgsClientHostKey -Path "C:\temp\$env:hostname-HostKey.cer"
    
  5. 將 .cer 檔案複製到 HGS 伺服器。

將主機金鑰新增至證明服務

此步驟會在 HGS 伺服器上完成,並允許主機執行受防護的 Vm。 建議您將名稱設定為主電腦的 FQDN 或資源識別碼,以便您可以輕鬆地參考該金鑰安裝所在的主機。

Add-HgsAttestationHostKey -Name MyHost01 -Path "C:\temp\MyHost01-HostKey.cer"

後續步驟

其他參考