Добавление сведений о узле для аттестации доверенного платформенного модуля
В режиме доверенного платформенного модуля администратор структуры записывает три типа сведений о узле, каждая из которых должна быть добавлена в конфигурацию HGS:
- Идентификатор TPM (EKpub) для каждого узла Hyper-V
- Политики целостности кода, список разрешенных двоичных файлов для узлов Hyper-V
- Базовый план доверенного платформенного модуля (измерения загрузки), представляющий набор узлов Hyper-V, работающих в одном классе оборудования.
После записи сведений администратор структуры добавьте его в конфигурацию HGS, как описано в следующей процедуре.
Получите XML-файлы, содержащие сведения EKpub, и скопируйте их на сервер HGS. На узел будет один XML-файл. Затем в консоли Windows PowerShell с повышенными привилегиями на сервере HGS выполните следующую команду. Повторите команду для каждого XML-файла.
Add-HgsAttestationTpmHost -Path <Path><Filename>.xml -Name <HostName>Примечание.
Если при добавлении идентификатора доверенного платформенного модуля относительно сертификата ключа подтверждения (EKCert) возникает ошибка, убедитесь, что доверенные корневые сертификаты доверенного доверенного платформенного модуля добавлены в узел HGS. Кроме того, некоторые поставщики TPM не используют EKCerts. Вы можете проверить, отсутствует ли EKCert, открыв XML-файл в редакторе, например Блокноте, и проверьте сообщение об ошибке, указывающее, что EKCert не найден. Если это так, и вы доверяете подлинности доверенного платформенного модуля на компьютере, можно использовать
-Forceфлаг для переопределения этой проверки безопасности и добавления идентификатора узла в HGS.Получите политику целостности кода, созданную администратором структуры для узлов в двоичном формате (*.p7b). Скопируйте его на сервер HGS. Затем выполните следующую команду.
Для
<PolicyName>этого укажите имя политики CI, описывающей тип узла, к которому он применяется. Рекомендуется присвоить ему имя после создания или модели компьютера и любой специальной конфигурации программного обеспечения, работающей на нем.
Для<Path>этого укажите путь и имя файла политики целостности кода.Add-HgsAttestationCIPolicy -Path <Path> -Name '<PolicyName>'Примечание.
Если вы используете политику целостности подписанного кода, зарегистрируйте неподписаную копию той же политики в HGS. Подпись политики целостности кода используется для управления обновлениями политики, но не измеряется в доверенном платформенном модулье узла и поэтому не может быть подтверждена HGS.
Получите файл журнала TCG, захваченный администратором структуры из эталонного узла. Скопируйте файл на сервер HGS. Затем выполните следующую команду. Как правило, вы назовете политику после класса оборудования, который он представляет (например, "Редакция модели производителя").
Add-HgsAttestationTpmPolicy -Path <Filename>.tcglog -Name '<PolicyName>'
Это завершает процесс настройки кластера HGS для режима доверенного платформенного модуля. Администратор структуры может потребовать предоставить два URL-адреса из HGS, прежде чем конфигурация будет завершена для узлов. Чтобы получить эти URL-адреса, на сервере HGS запустите Get-HgsServer.