Instalación de certificados raíz de TPM de confianza
Al configurar HGS para que use la atestación de TPM, también debe configurar HGS para confiar en los proveedores de los TPM en los servidores.
Este proceso de verificación adicional garantiza que solo los TPM auténticos y de confianza puedan atestiguar con su HGS.
Si intenta registrar un TPM que no es de confianza con Add-HgsAttestationTpmHost, recibirá un error que indica que el proveedor de TPM no es de confianza.
Para confiar en sus TPM, los certificados de firma raíz e intermedios que se usan para firmar la clave de aprobación en los TPM de los servidores deben instalarse en HGS. Si usa más de un modelo de TPM en el centro de datos, es posible que tenga que instalar certificados diferentes para cada modelo. HGS buscará los certificados de proveedor en los almacenes de certificados “TrustedTPM_RootCA” y “TrustedTPM_IntermediateCA”.
Nota
Los certificados de proveedor de TPM son diferentes de los instalados de forma predeterminada en Windows y representan los certificados raíz e intermedios específicos usados por los proveedores de TPM.
Microsoft publica una colección de certificados intermedios y raíz de TPM de confianza para su comodidad. Puede usar los pasos siguientes para instalar estos certificados. Si los certificados de TPM no se incluyen en el paquete siguiente, póngase en contacto con el proveedor de TPM o el OEM del servidor para obtener los certificados raíz e intermedios para el modelo de TPM específico.
Repita los pasos siguientes en cada servidor HGS:
Descargue el paquete más reciente de https://go.microsoft.com/fwlink/?linkid=2097925.
Compruebe la firma del archivo .cab para asegurarse de su autenticidad. No continúe si la firma no es válida.
Get-AuthenticodeSignature .\TrustedTpm.cabA continuación se muestra una salida de ejemplo:
Directory: C:\Users\Administrator\Downloads SignerCertificate Status Path ----------------- ------ ---- 0DD6D4D4F46C0C7C2671962C4D361D607E370940 Valid TrustedTpm.cabExpanda el archivo cab.
mkdir .\TrustedTPM expand.exe -F:* <Path-To-TrustedTpm.cab> .\TrustedTPMDe forma predeterminada, el script de configuración instalará certificados para cada proveedor de TPM. Si solo desea importar certificados para su proveedor de TPM específico, elimine las carpetas de los proveedores de TPM que no son de confianza para su organización.
Instale el paquete de certificado de confianza mediante la ejecución del script de instalación desde el archivo .cab.
cd .\TrustedTPM .\setup.cmd
Para agregar nuevos certificados o los que se omiten intencionadamente durante una instalación anterior, simplemente repita los pasos anteriores en cada nodo del clúster de HGS. Los certificados existentes seguirán siendo de confianza, pero los nuevos certificados encontrados en el archivo cab expandido se agregarán a los almacenes de TPM de confianza.