Mendapatkan sertifikat untuk HGS
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016
Saat menyebarkan HGS, Anda akan diminta untuk memberikan sertifikat penandatanganan dan enkripsi yang digunakan untuk melindungi informasi sensitif yang diperlukan untuk memulai Mesin Virtual yang terlindungi. Sertifikat ini tidak pernah meninggalkan HGS, dan hanya digunakan untuk mendekripsi kunci VM terlindungi ketika host tempat mereka berjalan telah terbukti sehat. Penyewa (pemilik VM) menggunakan setengah dari sertifikat publik untuk mengotorisasi pusat data Anda untuk menjalankan VM terlindungi mereka. Bagian ini mencakup langkah-langkah yang diperlukan untuk mendapatkan sertifikat penandatanganan dan enkripsi yang kompatibel untuk HGS.
Meminta sertifikat dari otoritas sertifikat Anda
Meskipun tidak diperlukan, sangat disarankan agar Anda mendapatkan sertifikat dari otoritas sertifikat tepercaya. Melakukannya membantu pemilik VM memverifikasi bahwa mereka mengotorisasi server HGS yang benar (yaitu penyedia layanan atau pusat data) untuk menjalankan VM terlindungi mereka. Dalam skenario perusahaan, Anda dapat memilih untuk menggunakan OS perusahaan Anda sendiri untuk mengeluarkan sertifikat ini. Hoster dan penyedia layanan harus mempertimbangkan untuk menggunakan CA publik yang terkenal sebagai gantinya.
Sertifikat penandatanganan dan enkripsi harus dikeluarkan dengan properti sertifikasi berikut (kecuali ditandai "disarankan"):
| Properti Templat Sertifikat | Nilai yang diperlukan |
|---|---|
| Penyedia kripto | Penyedia Penyimpanan Kunci (KSP) apa pun. Penyedia Layanan Kriptografi (CSP) warisan tidak didukung. |
| Algoritma kunci | RSA |
| Ukuran kunci minimum | 2048 bit |
| Algoritma tanda tangan | Disarankan: SHA256 |
| Penggunaan kunci | Tanda tangan digital dan ensippherment data |
| Penggunaan kunci yang ditingkatkan | Autentikasi Server |
| Kebijakan perpanjangan kunci | Perbarui dengan kunci yang sama. Memperbarui sertifikat HGS dengan kunci yang berbeda akan mencegah VM terlindungi memulai. |
| Nama Subjek | Disarankan: nama atau alamat web perusahaan Anda. Informasi ini akan ditampilkan kepada pemilik VM dalam wizard file data perisai. |
Persyaratan ini berlaku apakah Anda menggunakan sertifikat yang didukung oleh perangkat keras atau perangkat lunak. Untuk alasan keamanan, disarankan agar Anda membuat kunci HGS dalam Modul Keamanan Perangkat Keras (HSM) untuk mencegah kunci privat disalin dari sistem. Ikuti panduan dari vendor HSM Anda untuk meminta sertifikat dengan atribut di atas dan pastikan untuk menginstal dan mengotorisasi KSP HSM pada setiap simpul HGS.
Setiap node HGS akan memerlukan akses ke penandatanganan dan sertifikat enkripsi yang sama. Jika Anda menggunakan sertifikat yang didukung perangkat lunak, Anda dapat mengekspor sertifikat Anda ke file PFX dengan kata sandi dan mengizinkan HGS mengelola sertifikat untuk Anda. Anda juga dapat memilih untuk menginstal sertifikat ke penyimpanan sertifikat komputer lokal pada setiap simpul HGS dan memberikan thumbprint ke HGS. Kedua opsi dijelaskan dalam topik Inisialisasi Kluster HGS.
Membuat sertifikat yang ditandatangani sendiri untuk skenario pengujian
Jika Anda membuat lingkungan lab HGS dan tidak memiliki atau ingin menggunakan otoritas sertifikat, Anda dapat membuat sertifikat yang ditandatangani sendiri. Anda akan menerima peringatan saat mengimpor informasi sertifikat dalam wizard file data perisai, tetapi semua fungsionalitas akan tetap sama.
Untuk membuat sertifikat yang ditandatangani sendiri dan mengekspornya ke file PFX, jalankan perintah berikut di PowerShell:
$certificatePassword = Read-Host -AsSecureString -Prompt 'Enter a password for the PFX file'
$signCert = New-SelfSignedCertificate -Subject 'CN=HGS Signing Certificate' -KeyUsage DataEncipherment, DigitalSignature
Export-PfxCertificate -FilePath '.\signCert.pfx' -Password $certificatePassword -Cert $signCert
# Remove the certificate from "Personal" container
Remove-Item $signCert.PSPath
# Remove the certificate from "Intermediate certification authorities" container
Remove-Item -Path "Cert:\LocalMachine\CA\$($signCert.Thumbprint)"
$encCert = New-SelfSignedCertificate -Subject 'CN=HGS Encryption Certificate' -KeyUsage DataEncipherment, DigitalSignature
Export-PfxCertificate -FilePath '.\encCert.pfx' -Password $certificatePassword -Cert $encCert
# Remove the certificate from "Personal" container
Remove-Item $encCert.PSPath
# Remove the certificate from "Intermediate certification authorities" container
Remove-Item -Path "Cert:\LocalMachine\CA\$($encCert.Thumbprint)"
Meminta sertifikat SSL
Semua kunci dan informasi sensitif yang ditransmisikan antara host Hyper-V dan HGS dienkripsi pada tingkat pesan -- yaitu, informasi dienkripsi dengan kunci yang diketahui baik ke HGS atau Hyper-V, mencegah seseorang menginjak lalu lintas jaringan Anda dan mencuri kunci ke VM Anda. Namun, jika Anda memiliki persyaratan kepatuhan atau lebih suka mengenkripsi semua komunikasi antara Hyper-V dan HGS, Anda dapat mengonfigurasi HGS dengan sertifikat SSL yang akan mengenkripsi semua data di tingkat transportasi.
Baik host Hyper-V maupun node HGS harus mempercayai sertifikat SSL yang Anda berikan, jadi disarankan agar Anda meminta sertifikat SSL dari otoritas sertifikat perusahaan Anda. Saat meminta sertifikat, pastikan untuk menentukan hal berikut:
| Properti Sertifikat SSL | Nilai yang diperlukan |
|---|---|
| Nama Subjek | Alamat yang akan digunakan klien HGS (yaitu, host yang dijaga) untuk mengakses server HGS. Ini biasanya alamat DNS kluster HGS Anda, yang dikenal sebagai nama jaringan terdistribusi atau objek komputer virtual (VCO). Ini akan menjadi perangkaian nama layanan HGS Anda yang disediakan untuk Initialize-HgsServer dan nama domain HGS Anda. |
| Nama alternatif subjek | Jika Anda akan menggunakan nama DNS yang berbeda untuk mencapai kluster HGS Anda (misalnya jika berada di belakang penyeimbang beban, atau Anda menggunakan alamat yang berbeda untuk subset simpul dalam topologi kompleks), pastikan untuk menyertakan nama DNS tersebut di bidang SAN permintaan sertifikat Anda. Perhatikan bahwa jika ekstensi SAN diisi, Nama subjek diabaikan, dan karenanya SAN harus menyertakan semua nilai, termasuk yang biasanya Anda masukkan ke dalam Nama subjek. |
Opsi untuk menentukan sertifikat ini saat menginisialisasi server HGS tercakup dalam Mengonfigurasi simpul HGS pertama. Anda juga dapat menambahkan atau mengubah sertifikat SSL di lain waktu menggunakan cmdlet Set-HgsServer .