在新的專用樹系中使用金鑰模式初始化 HGS 叢集 (預設)
用戶端可以使用容錯移轉叢集分散式網路名稱 (DNN) 輕鬆地連絡任何 HGS 節點。 您必須選擇 DNN。 此名稱將會在 HGS DNS 服務中註冊。 舉例來說,如果您的 3 個 HGS 節點具有主機名稱 HGS01、HGS02 和 HGS03,則可能會決定為 DNN 選擇 "hgs" 或 "HgsCluster"。
找出 HGS 守護者憑證。 您需要一個簽署憑證和一個加密憑證來初始化 HGS 叢集。 為 HGS 提供憑證的最簡單方式,是為每個包含公開和私密金鑰的憑證,建立受密碼保護的 PFX 檔案。 如果您使用 HSM 支援的金鑰或其他不可匯出的憑證,請先確定此憑證已安裝在本機電腦的憑證存放區,然後再繼續。 如需要使用哪些憑證的詳細資訊,請參閱取得 HGS 的憑證。
在第一個 HGS 節點上提升權限的 PowerShell 視窗中執行 Initialize-HgsServer。 此 Cmdlet 的語法支援許多不同的輸入,但 2 個最常見的引動過程如下:
如果您使用 PFX 檔案進行簽署和加密憑證,請執行下列命令:
$signingCertPass = Read-Host -AsSecureString -Prompt "Signing certificate password" $encryptionCertPass = Read-Host -AsSecureString -Prompt "Encryption certificate password" Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificatePath '.\signCert.pfx' -SigningCertificatePassword $signingCertPass -EncryptionCertificatePath '.\encCert.pfx' -EncryptionCertificatePassword $encryptionCertPass -TrustHostkey
如果您使用本機憑證存放區中安裝的不可匯出憑證,請執行下列命令。 如果您不知道憑證的指紋,您可執行
Get-ChildItem Cert:\LocalMachine\My
以列出可用的憑證。Initialize-HgsServer -HgsServiceName 'MyHgsDNN' -SigningCertificateThumbprint '1A2B3C4D5E6F...' -EncryptionCertificateThumbprint '0F9E8D7C6B5A...' --TrustHostKey
如果您使用指紋將任何憑證提供給 HGS,系統會指示您將這些憑證的私密金鑰讀取權限授與 HGS。 在已安裝桌面體驗的伺服器上,完成下列步驟:
- 開啟本機電腦憑證管理員 (certlm.msc)
- 尋找憑證 > 以滑鼠右鍵按一下 > 所有工作 > 管理私密金鑰
- 按一下 [新增]
- 在物件選擇器視窗中,按一下 [物件類型] 並啟用 [服務帳戶]
- 輸入來自
Initialize-HgsServer
的警告文字中提及的服務帳戶名稱 - 確定 gMSA 具有私密金鑰的「讀取」存取權。
在 Server Core 上,您必須下載 PowerShell 模組,以協助設定私密金鑰權限。
請在具有網際網路連線能力的 HGS 伺服器上執行
Install-Module GuardedFabricTools
,或在另一部電腦上執行Save-Module GuardedFabricTools
並將此模組複製到 HGS 伺服器。執行
Import-Module GuardedFabricTools
。 這會將其他屬性新增至 PowerShell 中找到的憑證物件。在 PowerShell 中使用
Get-ChildItem Cert:\LocalMachine\My
尋找您的憑證指紋更新 ACL,將指紋取代為您自己的指紋,並將下列程式碼中的 gMSA 帳戶取代為
Initialize-HgsServer
的警告文字中所列的帳戶。$certificate = Get-Item "Cert:\LocalMachine\1A2B3C..." $certificate.Acl = $certificate.Acl | Add-AccessRule "HgsSvc_1A2B3C" Read Allow
如果您使用 HSM 支援的憑證,或第三方金鑰儲存提供者中儲存的憑證,您可能不適用這些步驟。 請參閱金鑰儲存提供者的文件,以了解如何管理私密金鑰的權限。 在某些情況下,安裝憑證時,沒有授權或不會提供授權給整部電腦。
介紹完畢 在生產環境中,您應該繼續將其他 HGS 節點新增至叢集。