호스트 키를 만들고 HGS에 추가

적용 대상: Windows Server 2022, Windows Server 2019

이 항목에서는 호스트 키 증명(키 모드)을 사용하여 보호된 호스트가 되도록 Hyper-V 호스트를 준비하는 방법에 대해 설명합니다. 호스트 키 쌍을 만들고(또는 기존 인증서 사용) HGS에 키의 공용 절반을 추가합니다.

호스트 키 만들기

Hyper-V 및 호스트 보호자 Hyper-V 지원 기능을 설치합니다.

Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart

호스트 키를 자동으로 생성하거나 기존 인증서를 선택합니다. 사용자 지정 인증서를 사용하는 경우 2048비트 RSA 키, 클라이언트 인증 EKU 및 디지털 서명 키 사용량이 있어야 합니다.
```
Set-HgsClientHostKey
```
또는 고유한 인증서를 사용하려는 경우 지문을 지정할 수 있습니다. 여러 컴퓨터에서 인증서를 공유하거나 TPM 또는 HSM에 바인딩된 인증서를 사용하려는 경우에 유용할 수 있습니다. 다음은 TPM 바인딩된 인증서를 만드는 예제입니다(프라이빗 키를 도난당하고 다른 컴퓨터에서 사용하지 못하게 하고 TPM 1.2만 필요).
```
$tpmBoundCert = New-SelfSignedCertificate -Subject "Host Key Attestation ($env:computername)" -Provider "Microsoft Platform Crypto Provider"
Set-HgsClientHostKey -Thumbprint $tpmBoundCert.Thumbprint
```
HGS 서버에 제공할 키의 공용 절반을 가져옵니다. 다음 cmdlet을 사용하거나 인증서가 다른 곳에 저장된 경우 키의 공용 절반을 포함하는 .cer을 제공할 수 있습니다. HGS에서 공개 키만 저장하고 유효성을 검사합니다. Microsoft는 인증서 정보를 보관하지 않으며 인증서 체인 또는 만료 날짜의 유효성을 검사하지 않습니다.
```
Get-HgsClientHostKey -Path "C:\temp\$env:hostname-HostKey.cer"
```
.cer 파일을 HGS 서버에 복사합니다.

이 단계는 HGS 서버에서 수행되며 호스트에서 보호된 VM을 실행할 수 있습니다. 키가 설치된 호스트를 쉽게 참조할 수 있도록 이름을 호스트 컴퓨터의 FQDN 또는 리소스 식별자로 설정하는 것이 좋습니다.

Add-HgsAttestationHostKey -Name MyHost01 -Path "C:\temp\MyHost01-HostKey.cer"