ホスト キーを作成して HGS に追加する
このトピックでは、ホスト キー構成証明 (キー モード) を使用して、Hyper-V ホストを保護されたホストに準備する方法について説明します。 ホスト キー ペアを作成し (または既存の証明書を使用)、キーの公開半分を HGS に追加します。
ホストキーの作成
Hyper-Vホストマシンに Windows Server 2019 をインストールします。
Hyper-V とホスト ガーディアン Hyper-V のサポート機能をインストールします:
Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restartホスト キーを自動的に生成するか、既存の証明書を選択します。 カスタム証明書を使用している場合は、少なくとも 2048 ビットの RSA キー、クライアント認証 EKU、およびデジタル署名キーの使用法が必要です。
Set-HgsClientHostKey独自の証明書を使用する場合は、拇印を指定できます。 これは、複数のコンピューターで証明書を共有する場合や、TPM または HSM にバインドされた証明書を使用する場合に便利です。 TPM にバインドされた証明書を作成する例を次に示します (これは、別のコンピューターでプライベート キーが盗まれ、使用されるのを防ぎ、TPM 1.2 のみを必要とします):
$tpmBoundCert = New-SelfSignedCertificate -Subject "Host Key Attestation ($env:computername)" -Provider "Microsoft Platform Crypto Provider" Set-HgsClientHostKey -Thumbprint $tpmBoundCert.ThumbprintHGS サーバーに提供するキーの公開半分を取得します。 次のコマンドレットを使用するか、証明書を他の場所に格納している場合は、キーの公開半分を含む .cer を指定します。 HGS に公開キーを格納して検証しているだけである点に注意してください。証明書の情報を保持したり、証明書チェーンや有効期限を検証したりは行う必要はありません。
Get-HgsClientHostKey -Path "C:\temp\$env:hostname-HostKey.cer".cer ファイルを HGS サーバーにコピーします。
構成証明サービスにホスト キーを追加する
この手順は HGS サーバーで行われ、ホストはシールドされた VM を実行できます。 キーがインストールされているホストを簡単に参照できるよう、ホスト コンピューターの FQDN またはリソース識別子に名前を設定することをお勧めします。
Add-HgsAttestationHostKey -Name MyHost01 -Path "C:\temp\MyHost01-HostKey.cer"