Установка доверенных корневых сертификатов доверенного платформенного модуля

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

При настройке HGS для использования аттестации доверенного платформенного модуля необходимо также настроить HGS для доверия поставщикам TPM на серверах. Этот дополнительный процесс проверки гарантирует, что с помощью HGS можно проверить только аутентичный, надежный TPM. Если вы пытаетесь зарегистрировать ненадежный TPM, Add-HgsAttestationTpmHostвы получите сообщение об ошибке, указывающее, что поставщик доверенного платформенного модуля недоверен.

Чтобы доверять виртуальным машинам, корневые и промежуточные сертификаты подписи, используемые для подписывания ключа подтверждения на виртуальных машинах серверов, должны быть установлены в HGS. Если в центре обработки данных используется несколько моделей доверенного платформенного модуля, может потребоваться установить разные сертификаты для каждой модели. HGS будет выглядеть в хранилищах сертификатов TrustedTPM_RootCA и TrustedTPM_IntermediateCA для сертификатов поставщика.

Примечание.

Сертификаты поставщика TPM отличаются от установленных по умолчанию в Windows и представляют определенные корневые и промежуточные сертификаты, используемые поставщиками доверенного платформенного модуля.

Коллекция доверенных корневых и промежуточных сертификатов доверенного доверенного платформенного модуля публикуется корпорацией Майкрософт для удобства. Чтобы установить эти сертификаты, воспользуйтесь приведенными ниже инструкциями. Если сертификаты доверенного платформенного модуля не включены в пакет ниже, обратитесь к поставщику TPM или изготовителю сервера, чтобы получить корневые и промежуточные сертификаты для конкретной модели доверенного платформенного модуля.

Повторите следующие действия на каждом сервере HGS:

1. Скачайте последний пакет из https://go.microsoft.com/fwlink/?linkid=2097925.

2. Проверьте подпись cab-файла, чтобы убедиться в его подлинности. Не продолжайте работу, если подпись недопустима.

   Get-AuthenticodeSignature .\TrustedTpm.cab
   

   Вот пример выходных данных этой команды:

   Directory: C:\Users\Administrator\Downloads
   
   SignerCertificate                         Status                                 Path
   -----------------                         ------                                 ----
   0DD6D4D4F46C0C7C2671962C4D361D607E370940  Valid                                  TrustedTpm.cab
   

3. Разверните cab-файл.

   mkdir .\TrustedTPM
   expand.exe -F:* <Path-To-TrustedTpm.cab> .\TrustedTPM
   

4. По умолчанию скрипт конфигурации установит сертификаты для каждого поставщика доверенного платформенного модуля. Если вы хотите импортировать сертификаты для конкретного поставщика доверенного платформенного модуля, удалите папки для поставщиков TPM, не доверенных вашей организацией.

5. Установите пакет доверенного сертификата, выполнив скрипт установки в развернутой папке.

   cd .\TrustedTPM
   .\setup.cmd
   

Чтобы добавить новые сертификаты или те, которые намеренно пропущены во время более ранней установки, просто повторите описанные выше действия на каждом узле в кластере HGS. Существующие сертификаты останутся доверенными, но новые сертификаты, найденные в развернутом cab-файле, будут добавлены в доверенные хранилища TPM.

Следующий шаг

Настройка DNS структуры