Compartir a través de

Inicialización del clúster de HGS mediante el modo de clave en un nuevo bosque dedicado (predeterminado)

  1. Los clientes pueden ponerse en contacto fácilmente con cualquier nodo de HGS mediante el nombre de red distribuida de clústeres de conmutación por error (DNN). Deberá elegir un DNN. Este nombre se registrará en el servicio DNS de HGS. Por ejemplo, si tiene tres nodos HGS con nombres de host HGS01, HGS02 y HGS03, puede decidir elegir "hgs" o "HgsCluster" para el DNN.

  2. Busque los certificados de protección de HGS. Necesitará un certificado de firma y un certificado de cifrado para inicializar el clúster de HGS. La manera más fácil de proporcionar certificados a HGS es crear un archivo PFX protegido con contraseña para cada certificado que contenga las claves públicas y privadas. Si usa claves respaldadas por HSM u otros certificados no exportables, asegúrese de que el certificado está instalado en el almacén de certificados del equipo local antes de continuar. Para obtener más información sobre qué certificados usar, consulte Obtención de certificados para HGS.

  3. Ejecute Initialize-HgsServer en una ventana de PowerShell con privilegios elevados en el primer nodo de HGS. La sintaxis de este cmdlet admite muchas entradas diferentes, pero las dos invocaciones más comunes son las siguientes:

    • Si usa archivos PFX para los certificados de firma y cifrado, ejecute los siguientes comandos:

      $signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"

Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustHostkey

    • Si usa certificados no exportables instalados en el almacén de certificados local, ejecute el siguiente comando. Si no conoce las huellas digitales de los certificados, puede enumerar los certificados disponibles mediante la ejecución de Get-ChildItem Cert:\LocalMachine\My.

      Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' --TrustHostKey

  4. Si proporcionó algún certificado a HGS mediante huellas digitales, se le pedirá que conceda a HGS acceso de lectura a la clave privada de esos certificados. En un servidor con Experiencia de escritorio instalado, complete los pasos siguientes:

    1. Abra el administrador de certificados del equipo local (certlm.msc).
    2. Busque los certificados > y haga clic con el botón derecho en > todas las tareas > administrar claves privadas.
    3. Haga clic en Agregar.
    4. En la ventana del selector de objetos, haga clic en Tipos de objetos y habilite las cuentas de servicio.
    5. Escriba el nombre de la cuenta de servicio mencionada en el texto de advertencia de Initialize-HgsServer.
    6. Asegúrese de que gMSA tiene acceso de "lectura" a la clave privada.

    En el núcleo de servidor, deberá descargar un módulo de PowerShell para ayudar a establecer los permisos de clave privada.

    1. Ejecute Install-Module GuardedFabricTools en el servidor HGS si tiene conectividad a Internet o se ejecuta Save-Module GuardedFabricTools en otro equipo y copia el módulo en el servidor HGS.

    2. Ejecute Import-Module GuardedFabricTools. Esto agregará propiedades adicionales a los objetos de certificado que se encuentran en PowerShell.

    3. Búsqueda de la huella digital del certificado en PowerShell con Get-ChildItem Cert:\LocalMachine\My

    4. Actualice la ACL, reemplazando la huella digital por la suya propia y la cuenta de gMSA en el código siguiente por la cuenta que aparece en el texto de advertencia de Initialize-HgsServer.

      $certificate = Get-Item "Cert:\LocalMachine\1A2B3C..."
$certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow

    Si usa certificados respaldados por HSM o certificados almacenados en un proveedor de almacenamiento de claves de terceros, es posible que estos pasos no se le apliquen. Consulte la documentación del proveedor de almacenamiento de claves para aprender a administrar permisos en la clave privada. En algunos casos, no hay ninguna autorización o se proporciona autorización a todo el equipo cuando se instala el certificado.

  5. Eso es todo. En un entorno de producción, debe seguir agregando nodos HGS adicionales al clúster.

Paso siguiente

Crear clave del host