创建主机密钥并将其添加到 HGS

• 适用于:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

本主题介绍如何使用主机密钥证明（密钥模式）准备 Hyper-V 主机来使其成为受保护的主机。 你将创建主机密钥对（或使用现有证书），并将密钥的一半内容（公钥）添加到 HGS。

创建主机密钥

1. 在 Hyper-V 主机上安装 Windows Server 2019。

2. 安装 Hyper-V 和主机保护者 Hyper-V 支持功能：

   Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
   

3. 自动生成主机密钥，或选择现有证书。 如果使用自定义证书，则它应至少具有 2048 位 RSA 密钥、客户端身份验证 EKU 和数字签名密钥用法。

   Set-HgsClientHostKey
   

   或者，如果要使用自己的证书，可以指定指纹。 如果要在多台计算机上共享证书，或者使用绑定到 TPM 或 HSM 的证书，这非常有用。 下面是创建 TPM 绑定证书 的示例（该证书可防止私钥被盗并在另一台计算机上使用，并且只需要 TPM 1.2）：

   $tpmBoundCert = New-SelfSignedCertificate -Subject "Host Key Attestation ($env:computername)" -Provider "Microsoft Platform Crypto Provider"
   Set-HgsClientHostKey -Thumbprint $tpmBoundCert.Thumbprint
   

4. 获取要提供给 HGS 服务器密钥的一半内容（公钥）。 可使用以下 cmdlet；如果证书存储在其他位置，请提供一个 .cer，其中包含密钥的一半内容（公钥）。 请注意，我们只在 HGS 上存储和验证公钥；我们不会保留任何证书信息，也不会验证证书链或到期日期。

   Get-HgsClientHostKey -Path "C:\temp\$env:hostname-HostKey.cer"
   

5. 将 .cer 文件复制到 HGS 服务器。

将主机密钥添加到证明服务

此步骤在 HGS 服务器上完成；完成后，主机可运行受防护的 VM。 建议将名称设置为主机的 FQDN 或资源标识符，以便可以轻松引用安装密钥的主机。

Add-HgsAttestationHostKey -Name MyHost01 -Path "C:\temp\MyHost01-HostKey.cer"

后续步骤

• 确认主机可成功证明

其他参考

• 为受保护的主机和受防护的 VM 部署主机保护者服务