信頼された TPM ルート証明書をインストールする
TPM 構成証明を使用するように HGS を構成する場合は、サーバー内の TPM のベンダーを信頼するように HGS を構成する必要もあります。
この追加の検証プロセスにより、確実で信頼性の高い TPM だけが HGS で証明できることになります。
信頼されていない TPM を Add-HgsAttestationTpmHost に登録しようとすると、TPM ベンダーが信頼されていないことを示すエラーが表示されます。
TPM を信頼するには、サーバーの TPM の保証キーに署名するために使用されるルート署名証明書と中間署名証明書を HGS にインストールする必要があります。 データセンターで複数の TPM モデルを使用する場合は、モデルごとに異なる証明書をインストールすることが必要になる場合があります。 HGS では、"TrustedTPM_RootCA" 証明書ストアと "TrustedTPM_IntermediateCA" 証明書ストアでベンダー証明書を探します。
注意
TPM ベンダーの証明書は、Windows に既定でインストールされている証明書とは異なり、TPM ベンダーが使用する特定のルート証明書と中間証明書を表します。
信頼された TPM のルート証明書と中間証明書のコレクションは、便宜上 Microsoft によって公開されています。 次の手順を使用して、これらの証明書をインストールできます。 TPM 証明書が以下のパッケージに含まれていない場合は、TPM ベンダーまたはサーバー OEM に連絡して、特定の TPM モデルのルート証明書と中間証明書を取得してください。
すべての HGS サーバーで次の手順を繰り返します。
https://go.microsoft.com/fwlink/?linkid=2097925 から最新のパッケージをダウンロードします。
cab ファイルの署名を検証して、その信頼性を確認します。 署名が無効な場合は続行しないでください。
Get-AuthenticodeSignature .\TrustedTpm.cab出力例を次に示します。
Directory: C:\Users\Administrator\Downloads SignerCertificate Status Path ----------------- ------ ---- 0DD6D4D4F46C0C7C2671962C4D361D607E370940 Valid TrustedTpm.cabcab ファイルを展開します。
mkdir .\TrustedTPM expand.exe -F:* <Path-To-TrustedTpm.cab> .\TrustedTPM既定では、構成スクリプトによって、すべての TPM ベンダーの証明書がインストールされます。 特定の TPM ベンダーの証明書のみをインポートする場合は、組織から信頼されていない TPM ベンダーのフォルダーを削除します。
展開したフォルダーのセットアップ スクリプトを実行して、信頼済み証明書パッケージをインストールします。
cd .\TrustedTPM .\setup.cmd
新しい証明書、またはインストール中に意図的にスキップした証明書を追加するには、HGS クラスター内のすべてのノードで上記の手順を繰り返します。 既存の証明書は信頼されたままですが、展開された cab ファイルにある新しい証明書は、信頼された TPM ストアに追加されます。