Ottenere certificati per il servizio Sorveglianza host
Quando si distribuisce HGS verrà richiesto di fornire i certificati di firma e crittografia che vengono usati per proteggere le informazioni riservate necessarie per avviare una macchina virtuale schermata. Questi certificati non lasciano mai il servizio Sorveglianza host e vengono usati solo per decrittografare le chiavi delle macchine virtuali schermate quando l'host in cui sono in esecuzione ha dimostrato di essere integro. I tenant (proprietari di macchine virtuali) usano la metà pubblica dei certificati per autorizzare il data center a eseguire le macchine virtuali schermate. Questa sezione illustra i passaggi necessari per ottenere certificati di firma e crittografia compatibili per il servizio Sorveglianza host.
Richiedere certificati dall'autorità di certificazione
Sebbene non sia necessario, è consigliabile ottenere i certificati da un'autorità di certificazione attendibile. In questo modo i proprietari delle macchine virtuali possono assicurarsi di autorizzare il server del servizio Sorveglianza host corretto, ad esempio il provider di servizi o il data center, per l'esecuzione delle macchine virtuali schermate. In uno scenario aziendale è possibile scegliere di usare la propria autorità di certificazione aziendale per rilasciare questi certificati. Gli host e i provider di servizi devono invece prendere in considerazione l'uso di un'autorità di certificazione pubblica nota.
Sia i certificati di firma che di crittografia devono essere rilasciati con le proprietà certificate seguenti, a meno che non siano contrassegnati come "consigliato":
Proprietà del modello di certificato | Valore obbligatorio |
---|---|
Provider di crittografia | Provider di archiviazione chiavi (KSP). I provider di servizi di crittografia legacy (CSP) non sono supportati. |
Algoritmo chiave | RSA |
Dimensioni minime della chiave | 2048 bit |
Algoritmo di firma | Consigliato: SHA256 |
Uso della chiave | Firma digitale e crittografia dei dati |
Utilizzo chiavi avanzato | Autenticazione server |
Criteri di rinnovo chiave | Rinnovare con la stessa chiave. Il rinnovo dei certificati del servizio Sorveglianza host con chiavi diverse impedirà l'avvio delle macchine virtuali schermate. |
Nome oggetto | Opzione consigliata : nome o indirizzo Web dell'azienda. Queste informazioni verranno visualizzate ai proprietari delle macchine virtuali nella procedura guidata del file di dati di schermatura. |
Questi requisiti si applicano se si usano certificati supportati da hardware o software. Per motivi di sicurezza, è consigliabile creare le chiavi del servizio Sorveglianza host in un modulo di protezione hardware (HSM) per impedire la copia delle chiavi private dal sistema. Seguire le indicazioni del fornitore di moduli di protezione hardware per richiedere i certificati con gli attributi precedenti e assicurarsi di installare e autorizzare il modulo di protezione hardware KSP in ogni nodo del servizio Sorveglianza host.
Ogni nodo HGS richiederà l'accesso agli stessi certificati di firma e crittografia. Se si usano certificati basati su software, è possibile esportare i certificati in un file PFX con una password e consentire al servizio Sorveglianza host di gestire automaticamente i certificati. È anche possibile scegliere di installare i certificati nell'archivio certificati del computer locale in ogni nodo del servizio Sorveglianza host e fornire l'identificazione personale al servizio Sorveglianza host. Entrambe le opzioni sono illustrate nell'argomento Inizializzare il cluster del servizio Sorveglianza host.
Creare certificati autofirmati per scenari di test
Se si sta creando un ambiente lab del servizio Sorveglianza host e non si vuole usare un'autorità di certificazione, è possibile creare certificati autofirmati. Verrà visualizzato un avviso quando si importano le informazioni sul certificato nella procedura guidata per i file di dati di schermatura, ma tutte le funzionalità rimarranno invariate.
Per creare certificati autofirmati ed esportarli in un file PFX, eseguire i comandi seguenti in PowerShell:
$certificatePassword = Read-Host -AsSecureString -Prompt 'Enter a password for the PFX file'
$signCert = New-SelfSignedCertificate -Subject 'CN=HGS Signing Certificate' -KeyUsage DataEncipherment, DigitalSignature
Export-PfxCertificate -FilePath '.\signCert.pfx' -Password $certificatePassword -Cert $signCert
# Remove the certificate from "Personal" container
Remove-Item $signCert.PSPath
# Remove the certificate from "Intermediate certification authorities" container
Remove-Item -Path "Cert:\LocalMachine\CA\$($signCert.Thumbprint)"
$encCert = New-SelfSignedCertificate -Subject 'CN=HGS Encryption Certificate' -KeyUsage DataEncipherment, DigitalSignature
Export-PfxCertificate -FilePath '.\encCert.pfx' -Password $certificatePassword -Cert $encCert
# Remove the certificate from "Personal" container
Remove-Item $encCert.PSPath
# Remove the certificate from "Intermediate certification authorities" container
Remove-Item -Path "Cert:\LocalMachine\CA\$($encCert.Thumbprint)"
Richiedere un certificato SSL
Tutte le chiavi e le informazioni riservate trasmesse tra host Hyper-V e il servizio Sorveglianza host vengono crittografate a livello di messaggio, ovvero le informazioni vengono crittografate con chiavi note al servizio Sorveglianza host o Hyper-V, impedendo a un utente di individuare il traffico di rete e di rubare le chiavi alle macchine virtuali. Se tuttavia si hanno requisiti di conformità o si preferisce semplicemente crittografare tutte le comunicazioni tra Hyper-V e il servizio Sorveglianza host, è possibile configurare il servizio Sorveglianza host con un certificato SSL che crittograferà tutti i dati a livello di trasporto.
Sia gli host Hyper-V che i nodi del servizio Sorveglianza host dovranno considerare attendibile il certificato SSL specificato, quindi è consigliabile richiedere il certificato SSL dall'autorità di certificazione aziendale. Quando si richiede il certificato, assicurarsi di specificare quanto segue:
Proprietà del certificato SSL | Valore obbligatorio |
---|---|
Nome oggetto | L'indirizzo usato dai client del servizio Sorveglianza host, ovvero host sorvegliati, per accedere al server del servizio Sorveglianza host. Si tratta in genere dell'indirizzo DNS del cluster del servizio Sorveglianza host, noto come nome di rete distribuita oppure oggetto computer virtuale (VCO). Questa sarà la concatenazione del nome del servizio Sorveglianza host specificato per Initialize-HgsServer e il nome di dominio del servizio Sorveglianza host. |
Nome alternativo del soggetto | Se si usa un nome DNS diverso per raggiungere il cluster del servizio Sorveglianza host, ad esempio se si trova dietro un servizio di bilanciamento del carico o si usano indirizzi diversi per un subset di nodi nella topologia complessa, assicurarsi di includere tali nomi DNS nel campo SAN della richiesta di certificato. Si noti che se l'estensione SAN viene popolata, il nome del soggetto viene ignorato e quindi SAN deve includere tutti i valori, incluso quello che normalmente si inserisce in Nome soggetto. |
Le opzioni per specificare questo certificato durante l'inizializzazione del server del servizio Sorveglianza host sono illustrate in Configurare il primo nodo del servizio Sorveglianza host. È anche possibile aggiungere o modificare il certificato SSL in un secondo momento usando il cmdlet Set-HgsServer.