Créer une clé d’hôte et l’ajouter à SGH
Cette rubrique explique comment préparer les hôtes Hyper-V à devenir des hôtes Service Guardian à l’aide de l’attestation de clé d’hôte (mode clé). Vous allez créer une paire de clés d’hôte (ou utiliser un certificat existant), puis ajouter la moitié publique de la clé à SGH.
Créer une clé d’hôte
Installez Windows Server 2019 sur votre machine hôte Hyper-V.
Installez les fonctionnalités de prise en charge d’Hyper-V et de Service Guardian hôte pour Hyper-V :
Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
Générez automatiquement une clé d’hôte, ou sélectionnez un certificat existant. Si vous utilisez un certificat personnalisé, il doit avoir au moins une clé RSA de 2 048 bits, disposer d’une valeur d’utilisation améliorée de la clé pour l’authentification client, et servir de clé de signature numérique.
Set-HgsClientHostKey
Vous pouvez également spécifier une empreinte numérique si vous souhaitez utiliser votre propre certificat. Cela peut être utile si vous souhaitez partager un certificat entre plusieurs machines, ou utiliser un certificat lié à un module TPM ou HSM. Voici un exemple de création de certificat lié à un module TPM (qui empêche le vol et l’utilisation de la clé privée sur une autre machine, et nécessite uniquement un module TPM 1.2) :
$tpmBoundCert = New-SelfSignedCertificate -Subject "Host Key Attestation ($env:computername)" -Provider "Microsoft Platform Crypto Provider" Set-HgsClientHostKey -Thumbprint $tpmBoundCert.Thumbprint
Obtenez la moitié publique de la clé à fournir au serveur SGH. Vous pouvez utiliser l’applet de commande suivante ou, si le certificat est stocké ailleurs, vous pouvez fournir un fichier .cer contenant la moitié publique de la clé. Notez que nous stockons et validons uniquement la clé publique sur SGH. Nous ne conservons aucune information relative au certificat, et nous ne validons pas la chaîne de certificats ni la date d’expiration.
Get-HgsClientHostKey -Path "C:\temp\$env:hostname-HostKey.cer"
Copiez le fichier .cer sur votre serveur SGH.
Ajouter la clé d’hôte au service d’attestation
Cette étape est effectuée sur le serveur SGH et permet à l’hôte d’exécuter des machines virtuelles dotées d’une protection maximale. Il est recommandé d’affecter à ce nom le FQDN ou l’identificateur de ressource de la machine hôte pour pouvoir facilement faire référence à l’hôte sur lequel la clé est installée.
Add-HgsAttestationHostKey -Name MyHost01 -Path "C:\temp\MyHost01-HostKey.cer"