Abrufen von Zertifikaten für den HGS
Beim Bereitstellen des Host-Überwachungsdiensts werden Sie aufgefordert, Signatur- und Verschlüsselungszertifikate bereitzustellen, mit denen die vertraulichen Informationen geschützt werden, die zum Starten einer abgeschirmten VM erforderlich sind. Diese Zertifikate verlassen den HGS nie und werden nur zum Entschlüsseln von Schlüsseln abgeschirmter VMs verwendet, wenn der Host, auf dem sie ausgeführt werden, nachgewiesen hat, dass er fehlerfrei ist. Mandanten (VM-Besitzer) verwenden die öffentliche Hälfte der Zertifikate, um Ihr Rechenzentrum zum Ausführen ihrer abgeschirmten VMs zu autorisieren. In diesem Abschnitt werden die Schritte erläutert, die zum Abrufen kompatibler Signatur- und Verschlüsselungszertifikate für den HGS erforderlich sind.
Anfordern von Zertifikaten von Ihrer Zertifizierungsstelle
Es ist zwar nicht unbedingt erforderlich, wird aber dringend empfohlen, dass Sie Ihre Zertifikate von einer vertrauenswürdigen Zertifizierungsstelle abrufen. Dadurch können VM-Besitzer überprüfen, ob sie den richtigen HGS-Server (also einen Dienstanbieter oder ein Rechenzentrum) für die Ausführung ihrer abgeschirmten VMs autorisieren. In einem Unternehmensszenario können Sie Ihre eigene Unternehmenszertifizierungsstelle verwenden, um diese Zertifikate auszustellen. Hosting- und Dienstanbieter sollten stattdessen eine bekannte öffentliche Zertifizierungsstelle verwenden.
Sowohl die Signatur- als auch die Verschlüsselungszertifikate müssen mit den folgenden Zertifikateigenschaften ausgestellt werden (sofern nicht als „empfohlen“ markiert):
| Zertifikatvorlageneigenschaft | Erforderlicher Wert |
|---|---|
| Kryptografieanbieter | Beliebiger Schlüsselspeicheranbieter (Key Storage Provider, KSP). Ältere Kryptografiedienstanbieter (Cryptographic Service Providers, CSPs) werden nicht unterstützt. |
| Schlüsselalgorithmus | RSA |
| Minimale Schlüsselgröße | 2.048 Bits |
| Signaturalgorithmus | Empfohlen: SHA256 |
| Schlüsselverwendung | Digitale Signatur und Datenverschlüsselung |
| Erweiterte Schlüsselverwendung | Serverauthentifizierung |
| Schlüsselerneuerungsrichtlinie | Verwenden Sie zum Erneuern den gleichen Schlüssel. Durch das Erneuern von HGS-Zertifikaten mit unterschiedlichen Schlüsseln wird verhindert, dass abgeschirmte VMs gestartet werden. |
| Antragstellername | Empfohlen: Name oder Webadresse Ihres Unternehmens. Diese Informationen werden VM-Besitzern im Assistenten zum Abschirmen von Datendateien angezeigt. |
Diese Anforderungen gelten unabhängig davon, ob Sie hardware- oder softwaregestützte Zertifikate verwenden. Aus Sicherheitsgründen wird empfohlen, dass Sie Ihre HGS-Schlüssel in einem Hardwaresicherheitsmodul (Hardware Security Module, HSM) erstellen, um zu verhindern, dass die privaten Schlüssel aus dem System kopiert werden. Folgen Sie den Anleitungen Ihres HSM-Anbieters, um Zertifikate mit den obigen Attributen anzufordern, und installieren und autorisieren Sie den HSM-KSP unbedingt auf jedem HGS-Knoten.
Jeder Host-Überwachungsdienst-Knoten benötigt Zugriff auf dieselben Signatur- und Verschlüsselungszertifikate. Wenn Sie softwaregestützte Zertifikate verwenden, können Sie die Zertifikate mit einem Kennwort in eine PFX-Datei exportieren und dem HGS gestatten, die Zertifikate für Sie zu verwalten. Sie können die Zertifikate auch auf jedem HGS-Knoten im Zertifikatspeicher des lokalen Computers installieren und den Fingerabdruck für den HGS bereitstellen. Beide Optionen werden im Thema Initialisieren des HGS-Clusters erläutert.
Erstellen von selbstsignierten Zertifikaten für Testszenarien
Wenn Sie eine HGS-Labumgebung erstellen und keine Zertifizierungsstelle verwenden können oder möchten, können Sie selbstsignierte Zertifikate erstellen. Beim Importieren der Zertifikatinformationen im Assistenten zum Abschirmen von Datendateien wird eine Warnung angezeigt, aber die Funktionalität bleibt unverändert.
Um selbstsignierte Zertifikate zu erstellen und in eine PFX-Datei zu exportieren, führen Sie die folgenden Befehle in PowerShell aus:
$certificatePassword = Read-Host -AsSecureString -Prompt 'Enter a password for the PFX file'
$signCert = New-SelfSignedCertificate -Subject 'CN=HGS Signing Certificate' -KeyUsage DataEncipherment, DigitalSignature
Export-PfxCertificate -FilePath '.\signCert.pfx' -Password $certificatePassword -Cert $signCert
# Remove the certificate from "Personal" container
Remove-Item $signCert.PSPath
# Remove the certificate from "Intermediate certification authorities" container
Remove-Item -Path "Cert:\LocalMachine\CA\$($signCert.Thumbprint)"
$encCert = New-SelfSignedCertificate -Subject 'CN=HGS Encryption Certificate' -KeyUsage DataEncipherment, DigitalSignature
Export-PfxCertificate -FilePath '.\encCert.pfx' -Password $certificatePassword -Cert $encCert
# Remove the certificate from "Personal" container
Remove-Item $encCert.PSPath
# Remove the certificate from "Intermediate certification authorities" container
Remove-Item -Path "Cert:\LocalMachine\CA\$($encCert.Thumbprint)"
Anfordern eines SSL-Zertifikats
Alle Schlüssel und vertraulichen Informationen, die zwischen Hyper-V-Hosts und dem HGS übertragen werden, werden auf Nachrichtenebene verschlüsselt. Die Informationen werden also mit Schlüsseln verschlüsselt, die entweder dem HGS oder Hyper-V bekannt sind – so wird verhindert, dass jemand Ihren Netzwerkdatenverkehr abhört und Schlüssel für Ihre VMs stiehlt. Wenn bei Ihnen jedoch bestimmte Complianceanforderungen bestehen oder Sie einfach die gesamte Kommunikation zwischen Hyper-V und dem HGS verschlüsseln möchten, können Sie den HGS mit einem SSL-Zertifikat konfigurieren, das alle Daten auf Transportebene verschlüsselt.
Sowohl die Hyper-V-Hosts als auch die HGS-Knoten müssen dem von Ihnen bereitgestellten SSL-Zertifikat vertrauen. Daher wird empfohlen, dass Sie das SSL-Zertifikat von Ihrer Unternehmenszertifizierungsstelle anfordern. Geben Sie beim Anfordern des Zertifikats unbedingt Folgendes an:
| SSL-Zertifikateigenschaft | Erforderlicher Wert |
|---|---|
| Antragstellername | Die Adresse, die HGS-Clients (also überwachte Hosts) für den Zugriff auf den HGS-Server verwenden. Dies ist in der Regel die DNS-Adresse Ihres HGS-Clusters, die auch als verteilter Netzwerkname oder virtuelles Computerobjekt (VCO) bezeichnet wird. Hierbei handelt es sich um die Verkettung Ihres in Initialize-HgsServer bereitgestellten HGS-Dienstnamens und Ihres HGS-Domänennamens. |
| Alternativer Antragstellername | Wenn Sie andere DNS-Namen verwenden, um Ihren HGS-Cluster zu erreichen (z. B. wenn dieser sich hinter einem Lastenausgleichsmodul befindet oder Sie in einer komplexen Topologie andere Adressen für einen Teil der Knoten verwenden), müssen Sie diese DNS-Namen in das SAN-Feld Ihrer Zertifikatanforderung eingeben. Beachten Sie, dass der Antragstellername beim Auffüllen der SAN-Erweiterung ignoriert wird. Daher muss das SAN-Feld alle Werte enthalten, einschließlich des Werts, den Sie normalerweise als Antragstellernamen eingeben würden. |
Die Optionen zum Angeben dieses Zertifikats beim Initialisieren des HGS-Servers werden unter Konfigurieren des ersten HGS-Knotens beschrieben. Sie können das SSL-Zertifikat auch zu einem späteren Zeitpunkt mithilfe des Cmdlets Set-HgsServer hinzufügen oder ändern.