建立主機金鑰並將其新增至 HGS

適用於︰Windows Server 2022、Windows Server 2019

本主題涵蓋如何使用主機金鑰證明來準備 Hyper-V 主機，使其成為受防護的主機 (金鑰模式)。您將建立主機金鑰組 (或使用現有的憑證)，並將金鑰的公開部分新增至 HGS。

建立主機金鑰

安裝 Hyper-V 和主機守護者 Hyper-V 支援功能：

Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart

自動產生主機金鑰，或選取現有的憑證。如果您使用自訂憑證，其應該至少有 2048 位元的 RSA 金鑰、用戶端驗證 EKU 和數位簽章金鑰使用方式。
```
Set-HgsClientHostKey
```
或者，如果您想要使用自己的憑證，可以指定指紋。如果您想要跨多部電腦共用憑證，或使用繫結至 TPM 或 HSM 的憑證，這非常有用。以下是建立 TPM 繫結憑證的範例 (這可防止其在另一部電腦上竊取及使用私密金鑰，而且只需要 TPM 1.2)：
```
$tpmBoundCert = New-SelfSignedCertificate -Subject "Host Key Attestation ($env:computername)" -Provider "Microsoft Platform Crypto Provider"
Set-HgsClientHostKey -Thumbprint $tpmBoundCert.Thumbprint
```
取得金鑰的公開部分以提供給 HGS 伺服器。您可以使用下列 Cmdlet，或者如果您有儲存在別處的憑證，請提供包含金鑰公開部分的 .cer。請注意，我們只會在 HGS 上儲存及驗證公開金鑰；我們不會保留任何憑證資訊，也不會驗證憑證鏈結或到期日。
```
Get-HgsClientHostKey -Path "C:\temp\$env:hostname-HostKey.cer"
```
將 .cer 檔案複製到您的 HGS 伺服器。

此步驟會在 HGS 伺服器上完成，並允許主機執行受防護的 VM。建議您將名稱設定為主機電腦的 FQDN 或資源識別碼，以便輕鬆參考已安裝金鑰的主機。

Add-HgsAttestationHostKey -Name MyHost01 -Path "C:\temp\MyHost01-HostKey.cer"