Membuat kunci host dan menambahkannya ke HGS

Berlaku untuk: Windows Server 2022, Windows Server 2019

Topik ini membahas cara menyiapkan host Hyper-V untuk menjadi host yang dijaga menggunakan pengesahan kunci host (Mode kunci). Anda akan membuat pasangan kunci host (atau menggunakan sertifikat yang ada) dan menambahkan setengah dari kunci publik ke HGS.

Membuat kunci host

1. Instal Windows Server 2019 di komputer host Hyper-V Anda.

2. Instal fitur Dukungan Hyper-V dan Host Guardian Hyper-V:

   Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
   

3. Buat kunci host secara otomatis, atau pilih sertifikat yang ada. Jika Anda menggunakan sertifikat kustom, sertifikat tersebut harus memiliki setidaknya kunci RSA 2048-bit, EKU Autentikasi Klien, dan penggunaan kunci Tanda Tangan Digital.

   Set-HgsClientHostKey
   

   Atau, Anda dapat menentukan thumbprint jika Anda ingin menggunakan sertifikat Anda sendiri. Ini dapat berguna jika Anda ingin berbagi sertifikat di beberapa komputer, atau menggunakan sertifikat yang terikat ke TPM atau HSM. Berikut adalah contoh pembuatan sertifikat terikat TPM (yang mencegahnya agar kunci privat dicuri dan digunakan pada komputer lain dan hanya memerlukan TPM 1.2):

   $tpmBoundCert = New-SelfSignedCertificate -Subject "Host Key Attestation ($env:computername)" -Provider "Microsoft Platform Crypto Provider"
   Set-HgsClientHostKey -Thumbprint $tpmBoundCert.Thumbprint
   

4. Dapatkan setengah dari kunci publik untuk disediakan ke server HGS. Anda dapat menggunakan cmdlet berikut atau, jika Anda memiliki sertifikat yang disimpan di tempat lain, berikan .cer yang berisi setengah dari kunci publik. Perhatikan bahwa kami hanya menyimpan dan memvalidasi kunci umum pada HGS; kami tidak menyimpan informasi sertifikat apa pun atau kami memvalidasi rantai sertifikat atau tanggal kedaluwarsa.

   Get-HgsClientHostKey -Path "C:\temp\$env:hostname-HostKey.cer"
   

5. Salin file .cer ke server HGS Anda.

Menambahkan kunci host ke layanan pengesahan

Langkah ini dilakukan di server HGS dan memungkinkan host untuk menjalankan VM terlindungi. Disarankan agar Anda mengatur nama ke FQDN atau pengidentifikasi sumber daya komputer host, sehingga Anda dapat dengan mudah merujuk ke host mana kunci diinstal.

Add-HgsAttestationHostKey -Name MyHost01 -Path "C:\temp\MyHost01-HostKey.cer"

Langkah selanjutnya

• Mengonfirmasi bahwa host dapat berhasil membuktikan

Referensi Tambahan

• Menyebarkan Layanan Wali Host untuk host yang dijaga dan VM terlindungi