新增 TPM 信任證明的主機資訊
針對 TPM 模式,網狀架構管理員會擷取三種主機資訊,每種資訊都需要新增至 HGS 設定:
- 每個 Hyper-V 主機的 TPM 識別碼 (EKpub)
- 程式碼完整性原則,Hyper-V 主機允許的二進位檔案清單
- TPM 基準 (開機度量),代表在相同硬體類別上執行的一組 Hyper-V 主機
如下列程序所述,在網狀架構管理員擷取資訊之後,將其新增至 HGS 設定。
取得包含 EKpub 資訊的 XML 檔案,並將其複製到 HGS 伺服器。 每個主機會有一個 XML 檔案。 然後,在 HGS 伺服器上提升權限的 Windows PowerShell 主控台中,執行下列命令。 對每個 XML 檔案重複此命令。
Add-HgsAttestationTpmHost -Path <Path><Filename>.xml -Name <HostName>注意
如果您在新增與不受信任簽署金鑰憑證 (EKCert) 相關的 TPM 識別碼時發生錯誤,請確定受信任的 TPM 根憑證已新增至 HGS 節點。 此外,某些 TPM 廠商不會使用 EKCerts。 您可以在記事本等編輯器中開啟 XML 檔案,並檢查是否有指出找不到 EKCert 的錯誤訊息,以檢查 EKCert 是否遺失。 如果是這種案例,而且您信任機器中的是真確的 TPM,則可以使用
-Force旗標來覆寫此安全檢查,並將主機識別碼新增至 HGS。取得網狀架構管理員為主機建立的程式碼完整性原則 (使用二進位格式 (*.p7b))。 將其複製到 HGS 伺服器。 然後執行下列命令。
針對
<PolicyName>,針對描述其所套用主機類型的 CI 原則指定名稱。 最佳做法是以電腦的品牌/型號,以及電腦上執行的任何特殊軟體組態來命名。
針對<Path>,指定程式碼完整性原則的路徑和檔案名稱。Add-HgsAttestationCIPolicy -Path <Path> -Name '<PolicyName>'注意
如果您使用已簽署的程式碼完整性原則,請使用 HGS 註冊相同原則的未簽署複本。 程式碼完整性原則上的簽章可用來控制原則的更新,但不會測量到主機 TPM,因此無法由 HGS 證明。
取得網狀架構管理員從參考主機擷取的 TCG 記錄檔。 將檔案複製到 HGS 伺服器。 然後執行下列命令。 一般而言,您會以原則所代表的硬體類別來命名原則 (例如,「製造商型號修訂」)。
Add-HgsAttestationTpmPolicy -Path <Filename>.tcglog -Name '<PolicyName>'
如此為 TPM 模式設定 HGS 叢集的程序便已完成。 網狀架構管理員可能需要您提供兩個來自 HGS 的 URL,才能完成主機的設定。 若要取得這些 URL,請在 HGS 伺服器上執行 Get-HgsServer。