安装受信任的 TPM 根证书
将 HGS 配置为使用 TPM 证明时,还需要配置 HGS 以信任服务器中 TPM 的供应商。
此额外验证过程可确保只有真正可信的 TPM 才能为 HGS 提供证明。
如果尝试向 Add-HgsAttestationTpmHost 注册不受信任的 TPM,将收到一个错误,指示 TPM 供应商不受信任。
若要信任 TPM,需要在 HGS 上安装用于对服务器的 TPM 中的认可密钥进行签名的根证书和中间签名证书。 如果在数据中心使用多个 TPM 模型,可能需要为每个模型安装不同的证书。 HGS 将查找供应商证书的“TrustedTPM_RootCA”和“TrustedTPM_IntermediateCA”证书存储。
注意
TPM 供应商证书不同于 Windows 中默认安装的证书,它们表示 TPM 供应商使用的特定根证书和中间证书。
为方便起见,Microsoft 发布了受信任的 TPM 根证书和中间证书的集合。 可以使用以下步骤安装这些证书。 如果以下包中未包含 TPM 证书,请联系 TPM 供应商或服务器 OEM,以获取特定 TPM 模型的根证书和中间证书。
对每个 HGS 服务器重复以下步骤:
验证 cab 文件的签名,确保其真实性。 如果签名无效,请勿继续操作。
Get-AuthenticodeSignature .\TrustedTpm.cab下面是一些示例输出:
Directory: C:\Users\Administrator\Downloads SignerCertificate Status Path ----------------- ------ ---- 0DD6D4D4F46C0C7C2671962C4D361D607E370940 Valid TrustedTpm.cab展开 cab 文件。
mkdir .\TrustedTPM expand.exe -F:* <Path-To-TrustedTpm.cab> .\TrustedTPM默认情况下,配置脚本将为每个 TPM 供应商安装证书。 如果只想为特定 TPM 供应商导入证书,请删除组织不信任的 TPM 供应商的文件夹。
通过运行已展开文件夹中的安装程序脚本来安装受信任的证书包。
cd .\TrustedTPM .\setup.cmd
若要添加新证书或在早期安装过程中有意跳过的证书,只需对 HGS 群集中的每个节点重复上述步骤。 现有证书将保持受信任状态,但在扩展的 cab 文件中找到的新证书会被添加到受信任的 TPM 存储中。