Obtención de certificados de HGS
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Al implementar HGS, se le pedirá que proporcione certificados de firma y de cifrado. Estos certificados se usan para proteger la información confidencial necesaria para iniciar una máquina virtual blindada. Estos certificados nunca dejan HGS y solo se usan para descifrar las claves de máquinas virtuales blindadas cuando el host en el que se ejecutan ha demostrado que es correcto. Los inquilinos (propietarios de máquinas virtuales) usan la mitad pública de los certificados para autorizar al centro de datos a ejecutar sus máquinas virtuales blindadas. En esta sección se describen los pasos necesarios para obtener certificados de cifrado y firma compatibles con HGS.
Solicitud de certificados de la entidad de certificación
Aunque no es obligatorio, se recomienda encarecidamente que obtenga los certificados de una entidad de certificación de confianza. Esto ayuda a los propietarios de máquinas virtuales a comprobar que están autorizando el servidor HGS correcto (es decir, el proveedor de servicios o el centro de datos) para ejecutar sus máquinas virtuales blindadas. En un escenario empresarial, puede optar por usar su propia entidad de certificación empresarial para emitir estos certificados. En su lugar, los proveedores de hospedaje y de servicios deben considerar el uso de una entidad de certificación pública conocida.
Tanto los certificados de firma como de cifrado deben emitirse con las siguientes propiedades de certificado (a menos que estén marcados como "Recomendable"):
| Propiedad de la plantilla de certificado | Valor obligatorio |
|---|---|
| Proveedor de cifrado | Cualquier proveedor de almacenamiento de claves (KSP). No se admiten proveedores de servicios criptográficos heredados (CSP). |
| Algoritmo de clave | RSA |
| Tamaño mínimo de clave | 2048 bits |
| Algoritmo de firma | Recomendable: SHA256 |
| Uso de las claves | Firma digital y encriptación de datos |
| Uso mejorado de clave | Autenticación de servidor |
| Directiva de renovación de claves | Renueve con la misma clave. La renovación de certificados HGS con claves diferentes impedirá que se inicien las máquinas virtuales blindadas. |
| Nombre de sujeto | Recomendable: nombre o dirección web de la empresa. Esta información se mostrará a los propietarios de máquinas virtuales en el Asistente para archivos de datos de blindaje. |
Estos requisitos son aplicables si usa certificados respaldados por hardware o software. Por motivos de seguridad, se recomienda crear las claves HGS en un módulo de seguridad de hardware (HSM) para evitar que las claves privadas se copien del sistema. Siga las instrucciones del proveedor de HSM para solicitar certificados con los atributos anteriores y asegúrese de instalar y autorizar el KSP de HSM en cada nodo de HGS.
Cada nodo de HGS necesitará acceso a los mismos certificados de firma y de cifrado. Si usa certificados respaldados por software, puede exportar los certificados a un archivo PFX con una contraseña y permitir que HGS administre los certificados automáticamente. También puede elegir instalar los certificados en el almacén de certificados de la máquina local en cada nodo de HGS y proporcionar la huella digital a HGS. Ambas opciones se explican en el tema Inicialización del clúster de HGS.
Creación de certificados autofirmados para escenarios de prueba
Si va a crear un entorno de laboratorio de HGS y no tiene o desea usar una entidad de certificación, puede crear certificados autofirmados. Recibirá una advertencia al importar la información del certificado en el Asistente para archivos de datos de blindaje, pero las funcionalidades seguirán siendo las mismas.
Para crear certificados autofirmados y exportarlos a un archivo PFX, ejecute los siguientes comandos en PowerShell:
$certificatePassword = Read-Host -AsSecureString -Prompt 'Enter a password for the PFX file'
$signCert = New-SelfSignedCertificate -Subject 'CN=HGS Signing Certificate' -KeyUsage DataEncipherment, DigitalSignature
Export-PfxCertificate -FilePath '.\signCert.pfx' -Password $certificatePassword -Cert $signCert
# Remove the certificate from "Personal" container
Remove-Item $signCert.PSPath
# Remove the certificate from "Intermediate certification authorities" container
Remove-Item -Path "Cert:\LocalMachine\CA\$($signCert.Thumbprint)"
$encCert = New-SelfSignedCertificate -Subject 'CN=HGS Encryption Certificate' -KeyUsage DataEncipherment, DigitalSignature
Export-PfxCertificate -FilePath '.\encCert.pfx' -Password $certificatePassword -Cert $encCert
# Remove the certificate from "Personal" container
Remove-Item $encCert.PSPath
# Remove the certificate from "Intermediate certification authorities" container
Remove-Item -Path "Cert:\LocalMachine\CA\$($encCert.Thumbprint)"
Solicitud de un certificado SSL
Todas las claves y la información confidencial transmitida entre hosts de Hyper-V y HGS se cifran en el nivel de mensaje, es decir, la información se cifra con claves conocidas por HGS o Hyper-V, lo que impide que alguien examine el tráfico de red y robe las claves a las máquinas virtuales. Sin embargo, si tiene requisitos de cumplimiento o simplemente prefiere cifrar todas las comunicaciones entre Hyper-V y HGS, puede configurar HGS con un certificado SSL que cifrará todos los datos en el nivel de transporte.
Tanto los hosts de Hyper-V como los nodos HGS tendrán que confiar en el certificado SSL que proporcione, por lo que se recomienda solicitar el certificado SSL de la entidad de certificación empresarial. Al solicitar el certificado, asegúrese de especificar lo siguiente:
| Propiedad del certificado SSL | Valor obligatorio |
|---|---|
| Nombre de sujeto | Dirección que los clientes de HGS (es decir, los hosts protegidos) usarán para acceder al servidor HGS. Normalmente, esta es la dirección DNS del clúster de HGS, conocida como el nombre de red distribuida u objeto de equipo virtual (VCO). Esta será la concatenación del nombre del servicio HGS proporcionado a Initialize-HgsServer y el nombre de dominio de HGS. |
| Nombre alternativo del firmante | Si va a usar un nombre DNS diferente para llegar al clúster de HGS (por ejemplo, si está detrás de un equilibrador de carga o usa direcciones diferentes para un subconjunto de nodos en topología compleja), asegúrese de incluir esos nombres DNS en el campo SAN de la solicitud de certificado. Tenga en cuenta que si se rellena la extensión SAN, se omite el nombre del firmante y, por tanto, SAN debe incluir todos los valores, incluido el que normalmente se colocaría en Nombre del firmante. |
Las opciones para especificar este certificado al inicializar el servidor HGS se tratan en Configuración del primer nodo HGS. También puede agregar o cambiar el certificado SSL más adelante mediante el cmdlet Set-HgsServer.