Partilhar via


Criar uma chave de host e adicioná-la ao HGS

Este tópico aborda como preparar os hosts do Hyper-V para se tornarem hosts protegidos usando atestado de chave de host (modo chave). Você criará um par de chave de host (ou usará um certificado existente) e adicionará a parte pública da chave ao HGS.

Criação de uma chave de host

  1. Instale o Windows Server 2019 em seu computador host do Hyper-V.

  2. Instale os recursos de suporte do Hyper-V e do Guardião de Host do Hyper-V:

    Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
    
  3. Gere uma chave de host automaticamente ou selecione um certificado existente. Se você estiver usando um certificado personalizado, ele deverá ter pelo menos uma chave RSA de 2048 bits, EKU de Autenticação de Cliente e uso de chave de assinatura digital.

    Set-HgsClientHostKey
    

    Opcionalmente, você pode especificar uma impressão digital se desejar usar seu próprio certificado. Isso pode ser útil caso você queira compartilhar um certificado em vários computadores ou usar um certificado associado a um TPM ou um HSM. Confira um exemplo de criação de um certificado associado ao TPM (que impede que ele tenha a chave privada roubada e usada em outro computador e necessita apenas de um TPM 1.2):

    $tpmBoundCert = New-SelfSignedCertificate -Subject "Host Key Attestation ($env:computername)" -Provider "Microsoft Platform Crypto Provider"
    Set-HgsClientHostKey -Thumbprint $tpmBoundCert.Thumbprint
    
  4. Obtenha a metade pública da chave a ser fornecida ao servidor do HGS. Você pode usar o cmdlet a seguir ou, se tiver o certificado armazenado em outro lugar, fornecer um .cer contendo a parte pública da chave. Observe que estamos apenas armazenando e validando a chave pública no HGS e não mantemos nenhuma informação de certificado nem validamos a cadeia de certificados ou a data de validade.

    Get-HgsClientHostKey -Path "C:\temp\$env:hostname-HostKey.cer"
    
  5. Copie o arquivo .cer para o servidor do HGS.

Adicionar a chave do host ao serviço de atestado

Essa etapa é feita no servidor do HGS e permite que o host execute VMs blindadas. É recomendável que você defina o nome para o FQDN ou o identificador de recurso do computador host, para que você possa consultar facilmente em qual host a chave está instalada.

Add-HgsAttestationHostKey -Name MyHost01 -Path "C:\temp\MyHost01-HostKey.cer"

Próxima etapa

Referências adicionais