在现有堡垒林中使用 TPM 模式初始化 HGS 群集
若要在现有堡垒林中使用 TPM 模式初始化 HGS 群集,请执行以下步骤。 Active Directory 域服务将安装在计算机上,但应保持在未配置状态。
找到 HGS 守护者证书。 需要一个签名证书和一个加密证书来初始化 HGS 群集。 向 HGS 提供证书的最简单方法是为每个包含公钥和私钥的证书创建一个受密码保护的 PFX 文件。 如果使用 HSM 支持的密钥或其他不可导出的证书,请确保先将证书安装到本地计算机的证书存储中,然后再继续操作。 有关要使用的证书的详细信息,请参阅为 HGS 获取证书。
在继续之前,请确保已为主机保护者服务预设了群集对象,并向已登录用户授予了对 Active Directory 中的 VCO 和 CNO 对象的完全控制权限。
需要将虚拟计算机对象名称传递给 -HgsServiceName
参数,将群集名称传递给 -ClusterName
参数。
提示
在继续操作之前,请仔细检查 AD 域控制器,确保群集对象已复制到所有 DC。
如果使用基于 PFX 的证书,请在 HGS 服务器上运行以下命令:
$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password"
$encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password"
Install-ADServiceAccount -Identity 'HGSgMSA'
Initialize-HgsServer -UseExistingDomain -ServiceAccount 'HGSgMSA' -JeaReviewersGroup 'HgsJeaReviewers' -JeaAdministratorsGroup 'HgsJeaAdmins' -HgsServiceName 'HgsService' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustTpm
如果使用安装在本地计算机上的证书(例如 HSM 支持的证书和不可导出的证书),请改用 -SigningCertificateThumbprint
和 -EncryptionCertificateThumbprint
参数。
在生产环境中,应继续向群集添加其他 HGS 节点。