Skapa en värdnyckel och lägg till den i HGS

• Gäller för:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Det här avsnittet beskriver hur du förbereder Hyper-V värdar för att bli skyddade värdar med värdnyckelattestering (nyckelläge). Du skapar ett värdnyckelpar (eller använder ett befintligt certifikat) och lägger till den offentliga hälften av nyckeln i HGS.

Skapa en värdnyckel

1. Installera Windows Server 2019 på din Hyper-V värddator.

2. Installera Hyper-V och Host Guardian Hyper-V Support-funktionerna:

   Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
   

3. Generera en värdnyckel automatiskt eller välj ett befintligt certifikat. Om du använder ett anpassat certifikat bör det ha minst en 2048-bitars RSA-nyckel, EKU för klientautentisering och nyckelanvändning för digital signatur.

   Set-HgsClientHostKey
   

   Du kan också ange ett tumavtryck om du vill använda ditt eget certifikat. Detta kan vara användbart om du vill dela ett certifikat på flera datorer eller använda ett certifikat som är bundet till en TPM eller en HSM. Här är ett exempel på hur du skapar ett TPM-bundet certifikat (vilket förhindrar att den privata nyckeln blir stulen och används på en annan dator och endast kräver TPM 1.2):

   $tpmBoundCert = New-SelfSignedCertificate -Subject "Host Key Attestation ($env:computername)" -Provider "Microsoft Platform Crypto Provider"
   Set-HgsClientHostKey -Thumbprint $tpmBoundCert.Thumbprint
   

4. Hämta den offentliga hälften av nyckeln som ska tillhandahållas till HGS-servern. Du kan använda följande cmdlet eller, om du har certifikatet lagrat någon annanstans, ange en .cer som innehåller den offentliga hälften av nyckeln. Observera att vi bara lagrar och validerar den offentliga nyckeln på HGS. Vi behåller inte någon certifikatinformation och verifierar inte heller certifikatkedjan eller förfallodatumet.

   Get-HgsClientHostKey -Path "C:\temp\$env:hostname-HostKey.cer"
   

5. Kopiera filen .cer till HGS-servern.

Lägg till värdnyckeln i attesteringstjänsten

Det här steget görs på HGS-servern och gör att värden kan köra avskärmade virtuella datorer. Vi rekommenderar att du anger namnet på värddatorns FQDN eller resursidentifierare, så att du enkelt kan referera till vilken värd som nyckeln är installerad på.

Add-HgsAttestationHostKey -Name MyHost01 -Path "C:\temp\MyHost01-HostKey.cer"

Nästa steg

• Bekräfta att värdar kan intyga

Ytterligare referenser

• Distribuera tjänsten Värdskydd för skyddade värdar och avskärmade virtuella datorer