Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Quando si distribuisce HGS verrà richiesto di fornire i certificati di firma e crittografia che vengono usati per proteggere le informazioni riservate necessarie per avviare una macchina virtuale schermata. Questi certificati non lasciano mai l'Host Guardian Service (HGS) e vengono utilizzati solo per decrittografare le chiavi delle VM schermate quando l'host su cui sono in esecuzione ha dimostrato di essere integro. I tenant (proprietari di macchine virtuali) usano la metà pubblica dei certificati per autorizzare il data center a eseguire le macchine virtuali schermate. Questa sezione illustra i passaggi necessari per ottenere certificati di firma e crittografia compatibili con HGS (Host Guardian Service).
Richiedere certificati dall'autorità di certificazione
Sebbene non sia necessario, è consigliabile ottenere i certificati da un'autorità di certificazione attendibile. In questo modo i proprietari delle macchine virtuali possono verificare di autorizzare il server HGS corretto, ad esempio il provider di servizi o il data center, per l'esecuzione delle loro macchine virtuali schermate. In uno scenario aziendale è possibile scegliere di usare la propria autorità di certificazione aziendale per rilasciare questi certificati. Gli host e i provider di servizi devono invece prendere in considerazione l'uso di un'autorità di certificazione pubblica nota.
Sia i certificati di firma che di crittografia devono essere rilasciati con le proprietà certificate seguenti, a meno che non siano contrassegnati come "consigliato":
| Proprietà del modello di certificato | Required value |
|---|---|
| Crypto provider | Provider di archiviazione delle chiavi (KSP) Legacy Cryptographic Service Providers (CSPs) are not supported. |
| Key algorithm | RSA |
| Dimensioni minime della chiave | 2048 bits |
| Signature algorithm | Recommended: SHA256 |
| Key usage | Digital signature and data encipherment |
| Utilizzo chiavi avanzato | Server authentication |
| Politica di rinnovo chiave | Rinnova con la stessa chiave. Il rinnovo dei certificati HGS con chiavi diverse impedirà l'avvio delle VM schermate. |
| Subject name | Opzione consigliata : nome o indirizzo Web dell'azienda. Queste informazioni verranno visualizzate ai proprietari di macchine virtuali nella procedura guidata del file di dati di protezione. |
Questi requisiti si applicano se si usano certificati supportati da hardware o software. Per motivi di sicurezza, è consigliabile generare le chiavi HGS in un modulo di protezione hardware (HSM) per impedire la copia delle chiavi private dal sistema. Seguire le indicazioni del fornitore di moduli di protezione hardware per richiedere i certificati con gli attributi precedenti, e assicurarsi di installare e autorizzare l'HSM KSP in ogni nodo HGS.
Ogni nodo HGS richiederà l'accesso agli stessi certificati di firma e crittografia. Se si usano certificati basati su software, è possibile esportare i certificati in un file PFX con una password e consentire al servizio Sorveglianza host di gestire automaticamente i certificati. È anche possibile scegliere di installare i certificati nell'archivio certificati del computer locale in ogni nodo del servizio Sorveglianza host e fornire l'identificazione personale al servizio Sorveglianza host. Entrambe le opzioni sono illustrate nell'argomento Initialize the HGS Cluster.
Creare certificati autofirmati per scenari di test
Se si sta creando un ambiente lab del servizio Sorveglianza host e non si vuole usare un'autorità di certificazione, è possibile creare certificati autofirmati. Verrà visualizzato un avviso quando si importano le informazioni sul certificato nella procedura guidata per i file di dati di schermatura, ma tutte le funzionalità rimarranno invariate.
Per creare certificati autofirmati ed esportarli in un file PFX, eseguire i comandi seguenti in PowerShell:
$certificatePassword = Read-Host -AsSecureString -Prompt 'Enter a password for the PFX file'
$signCert = New-SelfSignedCertificate -Subject 'CN=HGS Signing Certificate' -KeyUsage DataEncipherment, DigitalSignature
Export-PfxCertificate -FilePath '.\signCert.pfx' -Password $certificatePassword -Cert $signCert
# Remove the certificate from "Personal" container
Remove-Item $signCert.PSPath
# Remove the certificate from "Intermediate certification authorities" container
Remove-Item -Path "Cert:\LocalMachine\CA\$($signCert.Thumbprint)"
$encCert = New-SelfSignedCertificate -Subject 'CN=HGS Encryption Certificate' -KeyUsage DataEncipherment, DigitalSignature
Export-PfxCertificate -FilePath '.\encCert.pfx' -Password $certificatePassword -Cert $encCert
# Remove the certificate from "Personal" container
Remove-Item $encCert.PSPath
# Remove the certificate from "Intermediate certification authorities" container
Remove-Item -Path "Cert:\LocalMachine\CA\$($encCert.Thumbprint)"
Richiedere un certificato SSL
Tutte le chiavi e le informazioni riservate trasmesse tra host Hyper-V e il servizio Sorveglianza host vengono crittografate a livello di messaggio, ovvero le informazioni vengono crittografate con chiavi note al servizio Sorveglianza host o Hyper-V, impedendo a un utente di individuare il traffico di rete e di rubare le chiavi alle macchine virtuali. Se tuttavia si hanno requisiti di conformità o si preferisce semplicemente crittografare tutte le comunicazioni tra Hyper-V e il servizio Sorveglianza host, è possibile configurare il servizio Sorveglianza host con un certificato SSL che crittograferà tutti i dati a livello di trasporto.
Sia gli host Hyper-V che i nodi del servizio Sorveglianza host dovranno considerare attendibile il certificato SSL specificato, quindi è consigliabile richiedere il certificato SSL dall'autorità di certificazione aziendale. Quando si richiede il certificato, assicurarsi di specificare quanto segue:
| Proprietà del certificato SSL | Required value |
|---|---|
| Subject name | L'indirizzo che i client dell'HGS (ovvero, host sorvegliati) utilizzeranno per accedere al server HGS. Si tratta in genere dell'indirizzo DNS del cluster del servizio di Sorveglianza Host (HGS), noto come nome della rete distribuita oppure oggetto computer virtuale (VCO). Questa sarà la concatenazione del nome del servizio HGS specificato per Initialize-HgsServer e il nome di dominio HGS. |
| Nome alternativo del soggetto | Se userai un nome DNS diverso per raggiungere il cluster del servizio Sorveglianza host, ad esempio se si trova dietro un servizio di bilanciamento del carico o stai usando indirizzi diversi per un subset di nodi in una topologia complessa, assicurati di includere quei nomi DNS nel campo SAN della richiesta di certificato. Si noti che se l'estensione SAN viene popolata, il Nome Soggetto viene ignorato e quindi SAN deve includere tutti i valori, incluso quello che normalmente si inserisce nel Nome Soggetto. |
Le opzioni per specificare questo certificato durante l'inizializzazione del server del servizio Sorveglianza host sono illustrate in Configurare il primo nodo del servizio Sorveglianza host. You can also add or change the SSL certificate at a later time using the Set-HgsServer cmdlet.