Creare una chiave host e aggiungerla a HGS

Questo argomento illustra come preparare gli host Hyper-V per diventare host sorvegliati usando l'attestazione della chiave host (modalità chiave). Si creerà una coppia di chiavi host (o si userà un certificato esistente) e si aggiungerà la metà pubblica della chiave a HGS.

Creare una chiave host

1. Installare Windows Server 2019 nel computer host Hyper-V.

2. Installare le funzionalità di supporto hyper-V e Sorveglianza host Hyper-V:

   Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
   

3. Generare automaticamente una chiave host o selezionare un certificato esistente. Se si usa un certificato personalizzato, deve avere almeno una chiave RSA a 2048 bit, l'autenticazione client EKU e l'utilizzo della chiave di firma digitale.

   Set-HgsClientHostKey
   

   In alternativa, è possibile specificare un'identificazione personale se si vuole usare il proprio certificato. Ciò può essere utile se si vuole condividere un certificato tra più computer o usare un certificato associato a un TPM o a un modulo di protezione hardware. Di seguito è riportato un esempio di creazione di un certificato associato a TPM (che impedisce che la chiave privata venga rubata e usata in un altro computer e richieda solo un TPM 1.2):

   $tpmBoundCert = New-SelfSignedCertificate -Subject "Host Key Attestation ($env:computername)" -Provider "Microsoft Platform Crypto Provider"
   Set-HgsClientHostKey -Thumbprint $tpmBoundCert.Thumbprint
   

4. Ottenere la metà pubblica della chiave da fornire al server HGS. È possibile usare il cmdlet seguente oppure, se il certificato è archiviato altrove, specificare un cer contenente la metà pubblica della chiave. Si noti che vengono archiviati e convalidati solo la chiave pubblica in HGS; non vengono fornite informazioni sul certificato né viene convalidata la catena di certificati o la data di scadenza.

   Get-HgsClientHostKey -Path "C:\temp\$env:hostname-HostKey.cer"
   

5. Copiare il file cer nel server HGS.

Aggiungere la chiave host al servizio di attestazione

Questo passaggio viene eseguito nel server HGS e consente all'host di eseguire macchine virtuali schermate. È consigliabile impostare il nome sul nome di dominio completo o sull'identificatore di risorsa del computer host, in modo da poter fare facilmente riferimento all'host in cui è installata la chiave.

Add-HgsAttestationHostKey -Name MyHost01 -Path "C:\temp\MyHost01-HostKey.cer"

Passaggio successivo

• Confermare che gli host possono attestare correttamente

Riferimenti aggiuntivi

• Distribuzione del servizio Sorveglianza Host per gli host sorvegliati e le macchine virtuali schermate