Erstellen eines Hostschlüssels und Hinzufügen zum HGS

Gilt für: Windows Server 2022, Windows Server 2019

In diesem Thema wird erläutert, wie Hyper-V-Hosts mithilfe eines Hostschlüsselnachweises (Schlüsselmodus) als überwachte Hosts eingerichtet werden. Sie erstellen ein Hostschlüsselpaar (oder verwenden ein vorhandenes Zertifikat) und fügen die öffentliche Hälfte des Schlüssels zum HGS hinzu.

Erstellen eines Hostschlüssels

1. Installieren Sie Windows Server 2019 auf Ihrem Hyper-V-Hostcomputer.

2. Installieren Sie Hyper-V-Features und die Hyper-V-Features zur Unterstützung überwachter Hosts:

   Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
   

3. Generieren Sie automatisch einen Hostschlüssel, oder wählen Sie ein vorhandenes Zertifikat aus. Wenn Sie ein benutzerdefiniertes Zertifikat verwenden, sollte dieses mindestens über einen 2048-Bit-RSA-Schlüssel und einen Clientauthentifizierungs-EKU-Wert verfügen und einen digitalen Signaturschlüssel verwenden.

   Set-HgsClientHostKey
   

   Alternativ dazu können Sie einen Fingerabdruck angeben, wenn Sie Ihr eigenes Zertifikat verwenden möchten. Dies kann nützlich sein, wenn Sie ein Zertifikat auf mehreren Computern gemeinsam nutzen oder ein Zertifikat verwenden möchten, das an ein TPM oder ein HSM gebunden ist. Hier sehen Sie ein Beispiel für das Erstellen eines an ein TPM gebundenen Zertifikats (dies verhindert, dass der private Schlüssel gestohlen und auf einem anderen Computer verwendet wird, und erfordert nur ein TPM 1.2):

   $tpmBoundCert = New-SelfSignedCertificate -Subject "Host Key Attestation ($env:computername)" -Provider "Microsoft Platform Crypto Provider"
   Set-HgsClientHostKey -Thumbprint $tpmBoundCert.Thumbprint
   

4. Rufen Sie die öffentliche Hälfte des Schlüssels ab, um sie dem HGS-Server bereitzustellen. Sie können das folgende Cmdlet verwenden oder – wenn Sie das Zertifikat an anderer Stelle gespeichert haben –, eine CER-Datei bereitstellen, die die öffentliche Hälfte des Schlüssels enthält. Beachten Sie, dass hier nur der öffentliche Schlüssel im HGS gespeichert und validiert wird; es werden weder die Zertifikatinformationen gespeichert noch werden Zertifikatkette oder Ablaufdatum validiert.

   Get-HgsClientHostKey -Path "C:\temp\$env:hostname-HostKey.cer"
   

5. Kopieren Sie die CER-Datei auf Ihren HGS-Server.

Hinzufügen des Hostschlüssels zum Nachweisdienst

Dieser Schritt erfolgt auf dem HGS-Server und ermöglicht es dem Host, abgeschirmte VMs auszuführen. Es wird empfohlen, den Namen auf den FQDN oder den Ressourcenbezeichner des Hostcomputers festzulegen – so können Sie einfach nachvollziehen, auf welchem Host der Schlüssel installiert ist.

Add-HgsAttestationHostKey -Name MyHost01 -Path "C:\temp\MyHost01-HostKey.cer"

Nächster Schritt

• Bestätigen, dass Hosts erfolgreich einen Nachweis führen können

Zusätzliche Referenzen

• Bereitstellen des Host-Überwachungsdiensts für überwachte Hosts und abgeschirmte VMs