为 TPM 信任的证明添加主机信息
对于 TPM 模式,结构管理员捕获三种主机信息,每种信息都需要添加到 HGS 配置中:
- 每个 Hyper-V 主机的 TPM 标识符 (EKpub)
- 代码完整性策略,Hyper-V 主机允许的二进制文件的 AllowList
- 代表一组在同类硬件上运行的 Hyper-V 主机的 TPM 基线(引导度量)
结构管理员捕获信息后,将其添加到 HGS 配置中,如以下过程所述。
获取包含 EKPub 信息的 XML 文件,并将其复制到 HGS 服务器。 每个主机将有一个 XML 文件。 然后,在 HGS 服务器上提升的 Windows PowerShell 控制台中,运行下面的命令。 对每个 XML 文件重复该命令。
Add-HgsAttestationTpmHost -Path <Path><Filename>.xml -Name <HostName>注意
如果你在添加有关不受信任的认可密钥证书 (EKCert) 的 TPM 标识符时遇到错误,请确保已将受信任的 TPM 根证书添加到 HGS 节点。 此外,某些 TPM 供应商不使用 EKCert。 要检查 EKCert 是否丢失,可以在编辑器(如记事本)中打开 XML 文件并检查指示未找到 EKCert 的错误消息。 如果是这种情况,并且你相信计算机中的 TPM 是可信的,则可以使用
-Force标志来覆盖此安全检查,并将主机标识符添加到 HGS。获取结构管理员为主机创建的二进制格式 (*.p7b) 的代码完整性策略。 将其复制到 HGS 服务器。 然后,运行以下命令。
对于
<PolicyName>,请为 CI 策略指定一个名称,该名称用于描述其应用到的主机类型。 最佳做法是根据计算机的品牌/型号以及在其上运行的任何特殊软件配置进行命名。
对于<Path>,指定代码完整性策略的路径和文件名。Add-HgsAttestationCIPolicy -Path <Path> -Name '<PolicyName>'注意
如果你正在使用签名的代码完整性策略,请向 HGS 注册相同策略的未签名副本。 代码完整性策略上的签名用于控制对策略的更新,但不会在主机 TPM 中测量,因此无法由 HGS 证明。
获取结构管理员从参考主机捕获的 TCG 日志文件。 将文件复制到 HGS 服务器。 然后,运行以下命令。 通常,你将根据策略所代表的硬件类别来命名策略(例如,“制造商型号修订版”)。
Add-HgsAttestationTpmPolicy -Path <Filename>.tcglog -Name '<PolicyName>'
这就完成了为 TPM 模式配置 HGS 群集的过程。 结构管理员可能需要你提供两个来自 HGS 的 URL,然后才能完成主机的配置。 要获取这些 URL,请在 HGS 服务器上运行 Get-HgsServer。