Obter certificados para o HGS
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Ao implantar o HGS, você será solicitado a fornecer certificados de assinatura e criptografia que são usados para proteger as informações confidenciais necessárias para iniciar uma VM blindada. Esses certificados nunca saem do HGS e são usados apenas para descriptografar chaves de VM blindadas quando o host no qual eles estão em execução tiver provado sua integridade. Os locatários (proprietários de VM) usam a metade pública dos certificados para autorizar o datacenter a executar suas VMs blindadas. Esta seção aborda as etapas necessárias para obter certificados de criptografia e assinatura compatíveis para o HGS.
Solicitar certificados de sua autoridade de certificação
Embora não seja necessário, é altamente recomendável que você obtenha certificados de uma autoridade de certificação confiável. Isso ajuda os proprietários da VM a verificar se estão autorizando o servidor do HGS correto (ou seja, provedor de serviços ou datacenter) a executar suas VMs blindadas. Em um cenário corporativo, você deve optar por usar sua própria autoridade de certificação corporativa para emitir esses certificados. Já os hosters e os provedores de serviços devem considerar usar uma CA pública conhecida.
Os certificados de assinatura e criptografia devem ser emitidos com as seguintes propriedades de certificação (a menos que marcados como "recomendados"):
| Propriedade de modelo de certificado | Valor obrigatório |
|---|---|
| Provedor de criptografia | Um provedor de armazenamento de chaves (KSP). Não há suporte para CSPs (Provedores de Serviços Criptográficos Herdados). |
| Algoritmo de chave | RSA |
| Tamanho mínimo de chave | 2048 bits |
| Algoritmo de assinatura | Recomendado: SHA256 |
| Uso de chave | Assinatura digital e criptografia de dados |
| Uso avançado de chave | Autenticação do servidor |
| Política de renovação de chave | Renovar com a mesma chave. A renovação de certificados HGS com chaves diferentes impedirá que VMs blindadas sejam iniciadas. |
| Nome da entidade | Recomendado: o nome da sua empresa ou o endereço Web. Essas informações serão mostradas aos proprietários da VM no assistente de arquivo de dados de blindagem. |
Esses requisitos se aplicam se você estiver usando certificados com suporte de hardware ou software. Por motivos de segurança, é recomendável que você crie suas chaves do HGS em um HSM (Módulo de segurança de hardware) para impedir que as chaves privadas sejam copiadas do sistema. Siga as diretrizes do fornecedor do HSM para solicitar certificados com os atributos acima e certifique-se de instalar e autorizar o KSP do HSM em cada nó do HGS.
Cada nó HGS exigirá acesso aos mesmos certificados de autenticação e criptografia. Se você estiver usando certificados com suporte de software, poderá exportar seus certificados para um arquivo PFX com uma senha e permitir que o HGS gerencie os certificados para você. Você também pode optar por instalar os certificados no repositório de certificados do computador local em cada nó do HGS e fornecer a impressão digital para o HGS. A duas opções são explicadas no tópico Inicializar o cluster do HGS.
Criar certificados autoassinados para cenários de teste
Se você estiver criando um ambiente de laboratório do HGS e não tiver ou quiser usar uma autoridade de certificação, é possível criar certificados autoassinados. Você receberá um aviso ao importar as informações do certificado no assistente de arquivo de dados de blindagem, mas todas as funcionalidades permanecerão as mesmas.
Para criar certificados autoassinados e exportá-los para um arquivo PFX, execute os seguintes comandos no PowerShell:
$certificatePassword = Read-Host -AsSecureString -Prompt 'Enter a password for the PFX file'
$signCert = New-SelfSignedCertificate -Subject 'CN=HGS Signing Certificate' -KeyUsage DataEncipherment, DigitalSignature
Export-PfxCertificate -FilePath '.\signCert.pfx' -Password $certificatePassword -Cert $signCert
# Remove the certificate from "Personal" container
Remove-Item $signCert.PSPath
# Remove the certificate from "Intermediate certification authorities" container
Remove-Item -Path "Cert:\LocalMachine\CA\$($signCert.Thumbprint)"
$encCert = New-SelfSignedCertificate -Subject 'CN=HGS Encryption Certificate' -KeyUsage DataEncipherment, DigitalSignature
Export-PfxCertificate -FilePath '.\encCert.pfx' -Password $certificatePassword -Cert $encCert
# Remove the certificate from "Personal" container
Remove-Item $encCert.PSPath
# Remove the certificate from "Intermediate certification authorities" container
Remove-Item -Path "Cert:\LocalMachine\CA\$($encCert.Thumbprint)"
Solicitar um certificado de SSL
Todas as chaves e informações confidenciais transmitidas entre hosts os Hyper-V e HGS são criptografadas no nível da mensagem, ou seja, as informações são criptografadas com chaves conhecidas do HGS ou Hyper-V, impedindo que alguém detecte o tráfego de rede e roube chaves para suas VMs. No entanto, se você tiver requisitos de conformidade ou simplesmente preferir criptografar todas as comunicações entre o Hyper-V e o HGS, será possível configurar o HGS com um certificado SSL que criptografará todos os dados no nível de transporte.
Os hosts do Hyper-V e os nós do HGS precisarão confiar no certificado SSL fornecido, portanto, é recomendável solicitar o certificado SSL de sua autoridade de certificação corporativa. Ao solicitar o certificado, especifique o seguinte:
| Propriedade do certificado SSL | Valor obrigatório |
|---|---|
| Nome da entidade | Endereço que os clientes do HGS (ou seja, hosts protegidos) usarão para acessar o servidor do HGS. Geralmente, esse é o endereço DNS do cluster do HGS, conhecido como o nome da rede distribuída ou VCO (objeto de computador virtual). Essa será a concatenação do nome de serviço do HGS fornecido a Initialize-HgsServer e o nome de domínio do HGS. |
| Nome alternativo da entidade | Se você estiver usando um nome DNS diferente para acessar seu cluster do HGS (por exemplo, se ele estiver atrás de um balanceador de carga ou se você estiver usando endereços diferentes para um subconjunto de nós na topologia complexa), inclua esses nomes DNS no campo SAN da solicitação de certificado. Observe que, se a extensão SAN for preenchida, o nome da entidade será ignorado e, portanto, SAN deverá incluir todos os valores, incluindo aquele que você normalmente colocaria em Nome da entidade. |
As opções para especificar esse certificado ao inicializar o servidor HGS são abordadas em Configurar o primeiro nó do HGS. Você também pode adicionar ou alterar o certificado SSL mais tarde usando o cmdlet Set-HgsServer.
Próxima etapa
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de