Creación de una clave de host y su incorporación a HGS

En este tema se explica cómo preparar los hosts de Hyper-V para convertirse en hosts protegidos mediante la atestación de la clave del host (modo de clave). Creará un par de claves de host (o usará un certificado existente) y agregará la mitad pública de la clave a HGS.

Creación de una clave de host

  1. Instale Windows Server 2019 en la máquina host de Hyper-V.

  2. Instale las características de compatibilidad de Hyper-V y protección de host de Hyper-V:

    Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
    
  3. Genere automáticamente una clave de host o seleccione un certificado existente. Si usa un certificado personalizado, debe tener al menos una clave RSA de 2048 bits, EKU de autenticación de cliente y uso de la clave de firma digital.

    Set-HgsClientHostKey
    

    Como alternativa, puede especificar una huella digital si desea usar su propio certificado. Esto puede resultar útil si se desea compartir un certificado entre varias máquinas o usar un certificado enlazado a un TPM o un HSM. Este es un ejemplo de creación de un certificado enlazado a un TPM (lo que impide que se robe la clave privada y se use en otro equipo, y solo requiere un TPM 1.2):

    $tpmBoundCert = New-SelfSignedCertificate -Subject "Host Key Attestation ($env:computername)" -Provider "Microsoft Platform Crypto Provider"
    Set-HgsClientHostKey -Thumbprint $tpmBoundCert.Thumbprint
    
  4. Obtenga la mitad pública de la clave que se va a proporcionar al servidor de HGS. Puede usar el siguiente cmdlet o, si tiene el certificado almacenado en otro lugar, proporcione un archivo .cer que contenga la mitad pública de la clave. Tenga en cuenta que solo almacenamos y validamos la clave pública en HGS; no guardamos ninguna información del certificado ni validamos la cadena del certificado ni la fecha de expiración.

    Get-HgsClientHostKey -Path "C:\temp\$env:hostname-HostKey.cer"
    
  5. Copie el archivo .cer en el servidor de HGS.

Adición de la clave de host al servicio de atestación

Este paso se realiza en el servidor de HGS y permite al host ejecutar máquinas virtuales blindadas. Se recomienda establecer el nombre en el FQDN o el identificador de recursos del equipo host, con el fin de que se pueda hacer referencia fácilmente al host en el que está instalada la clave.

Add-HgsAttestationHostKey -Name MyHost01 -Path "C:\temp\MyHost01-HostKey.cer"

Paso siguiente

Referencias adicionales