安裝受信任的 TPM 根憑證
當您將 HGS 設定為使用 TPM 證明時,您也需要設定 HGS 來信任伺服器中 TPM 的廠商。
此額外的驗證程式可確保只有驗證且值得信任的 TPM 能夠向 HGS 證明。
如果您嘗試向 Add-HgsAttestationTpmHost
註冊不受信任的 TPM,您會收到錯誤,指出 TPM 廠商不受信任。
若要信任您的 TPM,用來簽署伺服器 TPM 中簽署簽署金鑰的根和中繼簽署憑證必須安裝在 HGS 上。 如果您在資料中心使用多個 TPM 模型,您可能需要為每個模型安裝不同的憑證。 HGS 會查看廠商憑證的「TrustedTPM_RootCA」和「TrustedTPM_IntermediateCA」憑證存放區。
注意
TPM 廠商憑證與 Windows 中預設安裝的憑證不同,代表 TPM 廠商所使用的特定根憑證和中繼憑證。
為了方便起見,Microsoft 會發佈受信任的 TPM 根憑證和中繼憑證集合。 您可以使用下列步驟來安裝這些憑證。 如果您的 TPM 憑證未包含在下列套件中,請連絡您的 TPM 廠商或伺服器 OEM,以取得特定 TPM 模型的根和中繼憑證。
在每個 HGS 伺服器上重複下列步驟:
確認 cab 檔案的簽章,以確保其真實性。 如果簽章無效,請勿繼續進行。
Get-AuthenticodeSignature .\TrustedTpm.cab
以下是一些範例輸出:
Directory: C:\Users\Administrator\Downloads SignerCertificate Status Path ----------------- ------ ---- 0DD6D4D4F46C0C7C2671962C4D361D607E370940 Valid TrustedTpm.cab
展開 cab 檔案。
mkdir .\TrustedTPM expand.exe -F:* <Path-To-TrustedTpm.cab> .\TrustedTPM
根據預設,組態指令碼會為每個 TPM 廠商安裝憑證。 如果您只想要匯入特定 TPM 廠商的憑證,請刪除組織不信任之 TPM 廠商的資料夾。
在展開的資料夾中執行安裝指令碼,以安裝信任的憑證套件。
cd .\TrustedTPM .\setup.cmd
若要在先前的安裝期間刻意略過新的憑證或憑證,只要在 HGS 叢集中的每個節點上重複上述步驟即可。 現有的憑證會保持信任,但在展開的 cab 檔案中找到的新憑證將會新增至受信任的 TPM 存放區。