Installer des certificats racines TPM approuvés

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Lorsque vous configurez SGH pour utiliser l’attestation TPM, vous devez également configurer SGH pour approuver les fournisseurs des modules TPM sur vos serveurs. Ce processus de vérification supplémentaire garantit que seuls des TPM authentiques et dignes de confiance sont en mesure d’attester avec votre SGH. Si vous essayez d’inscrire un TPM non approuvé auprès de Add-HgsAttestationTpmHost, vous recevez une erreur indiquant que le fournisseur de TPM n’est pas approuvé.

Pour faire confiance à vos TPM, les certificats de signature racine et intermédiaire utilisés pour signer la clé d’approbation dans les TPM de vos serveurs doivent être installés sur SGH. Si vous utilisez plusieurs modèles de TPM dans votre centre de données, vous devrez peut-être installer des certificats différents pour chaque modèle. SGH recherche les certificats du fournisseur dans les magasins de certificats « TrustedTPM_RootCA » et « TrustedTPM_IntermediateCA ».

Notes

Les certificats de fournisseur de TPM sont différents de ceux installés par défaut dans Windows et représentent les certificats racine et intermédiaires spécifiques utilisés par les fournisseurs de TPM.

Une collection de certificats racine et intermédiaires TPM approuvés est publiée par Microsoft pour votre commodité. Vous pouvez utiliser les étapes ci-dessous pour installer ces certificats. Si vos certificats TPM ne sont pas inclus dans le package ci-dessous, contactez votre fournisseur de TPM ou l’OEM de votre serveur pour obtenir les certificats racine et intermédiaire pour votre modèle TPM spécifique.

Répétez les étapes suivantes sur chaque serveur SGH :

  1. Téléchargez le dernier package à partir de https://go.microsoft.com/fwlink/?linkid=2097925.

  2. Vérifiez que la signature du fichier CAB est authentique. Ne continuez pas si la signature n’est pas valide.

    Get-AuthenticodeSignature .\TrustedTpm.cab

    Voici un exemple de sortie :

    Directory: C:\Users\Administrator\Downloads

SignerCertificate                         Status                                 Path
-----------------                         ------                                 ----
0DD6D4D4F46C0C7C2671962C4D361D607E370940  Valid                                  TrustedTpm.cab

  3. Développez le fichier cab.

    mkdir .\TrustedTPM
expand.exe -F:* <Path-To-TrustedTpm.cab> .\TrustedTPM

  4. Par défaut, le script de configuration installe des certificats pour chaque fournisseur de TPM. Si vous souhaitez importer uniquement des certificats pour votre fournisseur de TPM spécifique, supprimez les dossiers des fournisseurs de TPM non approuvés par votre organisation.

  5. Installez le package de certification de confiance en exécutant le script d’installation dans le dossier développé.

    cd .\TrustedTPM
.\setup.cmd

Pour ajouter de nouveaux certificats ou ceux intentionnellement ignorés lors d’une installation antérieure, répétez simplement les étapes ci-dessus sur chaque nœud de votre cluster SGH. Les certificats existants resteront approuvés, mais les nouveaux certificats trouvés dans le fichier cab développé seront ajoutés aux magasins de TPM approuvés.

Étape suivante

Configurer une structure DNS