Agregar información de host para la atestación de confianza de TPM
Para el modo de TPM, el administrador de tejido captura tres tipos de información de host, cada uno de los cuales debe agregarse a la configuración de HGS:
- un identificador de TPM (EKpub) para cada host de Hyper-V
- directivas de integridad de código, una lista de archivos binarios permitidos para los hosts de Hyper-V
- una línea de referencia de TPM (medidas de arranque) que representa un conjunto de hosts de Hyper-V que se ejecutan en la misma clase de hardware
Después de que el administrador del tejido capture la información, agréguela a la configuración de HGS como se describe en el procedimiento siguiente.
Obtenga los archivos XML que contienen la información de EKpub y cópielos en un servidor HGS. Habrá un archivo XML por host. A continuación, en una consola de Windows PowerShell con privilegios elevados en un servidor HGS, ejecute el comando siguiente. Repita el comando para cada uno de los archivos XML.
Add-HgsAttestationTpmHost -Path <Path><Filename>.xml -Name <HostName>Nota
Si se produce un error al agregar un identificador de TPM con respecto a un certificado de clave de aprobación (EKCert) que no es de confianza, asegúrese de que los certificados raíz de TPM de confianza se han agregado al nodo HGS. Además, algunos proveedores de TPM no usan EKCerts. Para comprobar si falta un EKCert, abra el archivo XML en un editor como el Bloc de notas y compruebe si hay un mensaje de error que indique que no se encontró ningún EKCert. Si este es el caso y confía en que el TPM de la máquina es auténtico, puede usar la marca
-Forcepara invalidar esta comprobación de seguridad y agregar el identificador de host a HGS.Obtenga la directiva de integridad de código que creó el administrador de tejido para los hosts, en formato binario (*.p7b). Cópiela en un servidor HGS. Luego, ejecute el siguiente comando.
Para
<PolicyName>, especifique un nombre para la directiva de CI que describe el tipo de host al que se aplica. Una práctica recomendada es darle el nombre de la marca/modelo de su máquina y de cualquier configuración especial de software que se ejecute en ella.
Para<Path>, especifique la ruta de acceso y el nombre de archivo de la directiva de integridad de código.Add-HgsAttestationCIPolicy -Path <Path> -Name '<PolicyName>'Nota
Si usa una directiva de integridad de código firmada, registre una copia sin firmar de la misma directiva con HGS. La firma en las directivas de integridad de código se usa para controlar las actualizaciones de la directiva, pero no se mide en el TPM del host y, por lo tanto, HGS no la puede atestiguar.
Obtenga el archivo de registro de TCG que el administrador del tejido capturó de un host de referencia. Copie el archivo en un servidor HGS. Luego, ejecute el siguiente comando. Normalmente, dará a la directiva el nombre de la clase de hardware que representa (por ejemplo, “Revisión del modelo del fabricante”).
Add-HgsAttestationTpmPolicy -Path <Filename>.tcglog -Name '<PolicyName>'
Esto completa el proceso de configuración de un clúster de HGS para el modo TPM. Es posible que el administrador de tejido necesite proporcionar dos direcciones URL de HGS antes de que se pueda completar la configuración de los hosts. Para obtener estas direcciones URL, ejecute Get-HgsServer en un servidor HGS.