호스트 키를 만들어 HGS에 추가
이 토픽에서는 호스트 키 증명(키 모드)을 사용하여 보호된 호스트가 되도록 Hyper-V 호스트를 준비하는 방법에 대해 설명합니다. 호스트 키 쌍을 만들고(또는 기존 인증서 사용) 키의 공용 절반을 HGS에 추가합니다.
호스트 키 만들기
Windows Server 2019를 Hyper-V 호스트 컴퓨터에 설치합니다.
Hyper-V 및 호스트 보호자 Hyper-V 지원 기능을 설치합니다.
Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
자동으로 호스트 키를 생성하거나 기존 인증서를 선택합니다. 사용자 지정 인증서를 사용하는 경우 최소한 2048비트 RSA 키, 클라이언트 인증 EKU 및 디지털 서명 키 사용량이 있어야 합니다.
Set-HgsClientHostKey
또는 고유한 인증서를 사용하려면 지문을 지정할 수 있습니다. 여러 컴퓨터에서 인증서를 공유하거나 TPM 또는 HSM에 바인딩된 인증서를 사용하려는 경우 유용할 수 있습니다. 다음은 TPM이 바인딩된 인증서를 만드는 예제입니다(프라이빗 키를 도난당하고 다른 컴퓨터에서 사용하지 못하게 하고 TPM 1.2만 필요).
$tpmBoundCert = New-SelfSignedCertificate -Subject "Host Key Attestation ($env:computername)" -Provider "Microsoft Platform Crypto Provider" Set-HgsClientHostKey -Thumbprint $tpmBoundCert.Thumbprint
HGS 서버에 제공할 키의 공용 절반을 가져옵니다. 다음 cmdlet을 사용하거나 인증서가 다른 곳에 저장된 경우 키의 공용 절반을 포함하는 .cer을 제공할 수 있습니다. Microsoft는 HGS에서 공개 키만 저장하고 유효성을 검사합니다. 인증서 정보를 보관하지 않으며 인증서 체인 또는 만료 날짜의 유효성을 검사하지 않습니다.
Get-HgsClientHostKey -Path "C:\temp\$env:hostname-HostKey.cer"
HGS 서버에 .cer 파일을 복사합니다.
호스트 키를 증명 서비스에 추가
이 단계는 HGS 서버에서 수행되며 호스트에서 보호된 VM을 실행할 수 있도록 합니다. 키가 설치된 호스트를 쉽게 참조할 수 있도록 호스트 컴퓨터의 FQDN 또는 리소스 식별자로 이름을 설정하는 것이 좋습니다.
Add-HgsAttestationHostKey -Name MyHost01 -Path "C:\temp\MyHost01-HostKey.cer"