Menginstal sertifikat akar TPM tepercaya
Saat mengonfigurasi HGS untuk menggunakan pengesahan TPM, Anda juga perlu mengonfigurasi HGS untuk mempercayai vendor TPM di server Anda.
Proses verifikasi tambahan ini memastikan hanya TPM yang autentik dan dapat dipercaya yang dapat membuktikan dengan HGS Anda.
Jika Anda mencoba mendaftarkan TPM yang tidak tepercaya dengan Add-HgsAttestationTpmHost
, Anda akan menerima kesalahan yang menunjukkan vendor TPM tidak tepercaya.
Untuk mempercayai TPM Anda, sertifikat penandatanganan akar dan menengah yang digunakan untuk menandatangani kunci dukungan di TPM server Anda perlu diinstal pada HGS. Jika Anda menggunakan lebih dari satu model TPM di pusat data, Anda mungkin perlu menginstal sertifikat yang berbeda untuk setiap model. HGS akan melihat penyimpanan sertifikat "TrustedTPM_RootCA" dan "TrustedTPM_IntermediateCA" untuk sertifikat vendor.
Catatan
Sertifikat vendor TPM berbeda dari yang diinstal secara default di Windows dan mewakili sertifikat akar dan menengah tertentu yang digunakan oleh vendor TPM.
Kumpulan akar TPM tepercaya dan sertifikat perantara diterbitkan oleh Microsoft untuk kenyamanan Anda. Anda dapat menggunakan langkah-langkah di bawah ini untuk menginstal sertifikat ini. Jika sertifikat TPM Anda tidak disertakan dalam paket di bawah ini, hubungi vendor TPM atau OEM server Anda untuk mendapatkan sertifikat akar dan menengah untuk model TPM spesifik Anda.
Ulangi langkah-langkah berikut pada setiap server HGS:
Unduh paket terbaru dari https://go.microsoft.com/fwlink/?linkid=2097925.
Verifikasi tanda tangan file kabin untuk memastikan keasliannya. Jangan lanjutkan jika tanda tangan tidak valid.
Get-AuthenticodeSignature .\TrustedTpm.cab
Berikut adalah beberapa contoh output:
Directory: C:\Users\Administrator\Downloads SignerCertificate Status Path ----------------- ------ ---- 0DD6D4D4F46C0C7C2671962C4D361D607E370940 Valid TrustedTpm.cab
Perluas file taksi.
mkdir .\TrustedTPM expand.exe -F:* <Path-To-TrustedTpm.cab> .\TrustedTPM
Secara default, skrip konfigurasi akan menginstal sertifikat untuk setiap vendor TPM. Jika Anda hanya ingin mengimpor sertifikat untuk vendor TPM tertentu, hapus folder untuk vendor TPM yang tidak dipercaya oleh organisasi Anda.
Instal paket sertifikat tepercaya dengan menjalankan skrip penyiapan di folder yang diperluas.
cd .\TrustedTPM .\setup.cmd
Untuk menambahkan sertifikat atau sertifikat baru yang sengaja dilewati selama penginstalan sebelumnya, cukup ulangi langkah-langkah di atas pada setiap simpul di kluster HGS Anda. Sertifikat yang ada akan tetap tepercaya tetapi sertifikat baru yang ditemukan dalam file kabin yang diperluas akan ditambahkan ke penyimpanan TPM tepercaya.