Installieren vertrauenswürdiger TPM-Stammzertifikate
Wenn Sie den Host-Überwachungsdienst für die Verwendung des TPM-Nachweises konfigurieren, muss der Host-Überwachungsdienst auch so konfiguriert werden, dass er den Anbietern der TPMs auf Ihren Servern vertraut.
Durch diesen zusätzlichen Überprüfungsvorgang wird sichergestellt, dass der Nachweis gegenüber Ihrem Host-Überwachungsdienst nur für authentische, vertrauenswürdige TPMs möglich ist.
Wenn Sie versuchen, ein nicht vertrauenswürdiges TPM bei Add-HgsAttestationTpmHost
zu registrieren, erhalten Sie eine Fehlermeldung mit dem Hinweis, dass der TPM-Anbieter nicht vertrauenswürdig ist.
Damit Ihre TPMs als vertrauenswürdig eingestuft werden können, müssen die Stamm- und Zwischensignaturzertifikate, die zum Signieren des Endorsement Key in den TPMs Ihrer Server verwendet werden, im Host-Überwachungsdienst installiert werden. Wenn Sie in Ihrem Rechenzentrum mehr als ein TPM-Modell verwenden, müssen Sie möglicherweise unterschiedliche Zertifikate für jedes Modell installieren. Der Host-Überwachungsdienst sucht in den Zertifikatspeichern „TrustedTPM_RootCA“ und „TrustedTPM_IntermediateCA“ nach den Zertifikaten des Anbieters.
Hinweis
Die TPM-Anbieterzertifikate unterscheiden sich von denen, die standardmäßig in Windows installiert werden, und stellen die spezifischen Stamm- und Zwischenzertifikate dar, die von TPM-Anbietern verwendet werden.
Eine Sammlung vertrauenswürdiger TPM-Stamm- und Zwischenzertifikate wird von Microsoft veröffentlicht. Diese Zertifikate können mithilfe der im Anschluss angegebenen Schritte installiert werden. Wenn Ihre TPM-Zertifikate nicht im weiter unten angegebenen Paket enthalten sind, wenden Sie sich an Ihren TPM-Anbieter oder an den OEM des Servers, um die Stamm- und Zwischenzertifikate für Ihr spezifisches TPM-Modell zu erhalten.
Führen Sie die folgenden Schritte auf jedem Host-Überwachungsdienstserver aus:
Laden Sie unter https://go.microsoft.com/fwlink/?linkid=2097925 das aktuelle Paket herunter.
Überprüfen Sie anhand der Signatur der CAB-Datei deren Authentizität. Fahren Sie nicht fort, wenn die Signatur nicht gültig ist.
Get-AuthenticodeSignature .\TrustedTpm.cab
Hier ist eine Beispielausgabe angegeben:
Directory: C:\Users\Administrator\Downloads SignerCertificate Status Path ----------------- ------ ---- 0DD6D4D4F46C0C7C2671962C4D361D607E370940 Valid TrustedTpm.cab
Erweitern Sie die CAB-Datei.
mkdir .\TrustedTPM expand.exe -F:* <Path-To-TrustedTpm.cab> .\TrustedTPM
Standardmäßig installiert das Konfigurationsskript Zertifikate für jeden TPM-Anbieter. Wenn Sie nur Zertifikate für Ihren spezifischen TPM-Anbieter importieren möchten, löschen Sie die Ordner für die TPM-Anbieter, die von Ihrer Organisation nicht als vertrauenswürdig eingestuft werden.
Führen Sie das Setupskript aus dem erweiterten Ordner aus, um das Paket mit den vertrauenswürdigen Zertifikaten zu installieren.
cd .\TrustedTPM .\setup.cmd
Wenn Sie neue Zertifikate hinzufügen möchten (oder Zertifikate, die bei einer früheren Installation bewusst übersprungen wurden), wiederholen Sie einfach die oben genannten Schritte auf jedem Knoten Ihres Host-Überwachungsdienstclusters. Vorhandene Zertifikate werden weiterhin als vertrauenswürdig eingestuft, und neue Zertifikate, die in der erweiterten CAB-Datei gefunden werden, werden den vertrauenswürdigen TPM-Speichern hinzugefügt.