Installer des certificats racines TPM approuvés
Lorsque vous configurez SGH pour utiliser l’attestation TPM, vous devez également configurer SGH pour approuver les fournisseurs des modules TPM sur vos serveurs.
Ce processus de vérification supplémentaire garantit que seuls des TPM authentiques et dignes de confiance sont en mesure d’attester avec votre SGH.
Si vous essayez d’inscrire un TPM non approuvé auprès de Add-HgsAttestationTpmHost
, vous recevez une erreur indiquant que le fournisseur de TPM n’est pas approuvé.
Pour faire confiance à vos TPM, les certificats de signature racine et intermédiaire utilisés pour signer la clé d’approbation dans les TPM de vos serveurs doivent être installés sur SGH. Si vous utilisez plusieurs modèles de TPM dans votre centre de données, vous devrez peut-être installer des certificats différents pour chaque modèle. SGH recherche les certificats du fournisseur dans les magasins de certificats « TrustedTPM_RootCA » et « TrustedTPM_IntermediateCA ».
Notes
Les certificats de fournisseur de TPM sont différents de ceux installés par défaut dans Windows et représentent les certificats racine et intermédiaires spécifiques utilisés par les fournisseurs de TPM.
Une collection de certificats racine et intermédiaires TPM approuvés est publiée par Microsoft pour votre commodité. Vous pouvez utiliser les étapes ci-dessous pour installer ces certificats. Si vos certificats TPM ne sont pas inclus dans le package ci-dessous, contactez votre fournisseur de TPM ou l’OEM de votre serveur pour obtenir les certificats racine et intermédiaire pour votre modèle TPM spécifique.
Répétez les étapes suivantes sur chaque serveur SGH :
Téléchargez le dernier package à partir de https://go.microsoft.com/fwlink/?linkid=2097925.
Vérifiez que la signature du fichier CAB est authentique. Ne continuez pas si la signature n’est pas valide.
Get-AuthenticodeSignature .\TrustedTpm.cab
Voici un exemple de sortie :
Directory: C:\Users\Administrator\Downloads SignerCertificate Status Path ----------------- ------ ---- 0DD6D4D4F46C0C7C2671962C4D361D607E370940 Valid TrustedTpm.cab
Développez le fichier cab.
mkdir .\TrustedTPM expand.exe -F:* <Path-To-TrustedTpm.cab> .\TrustedTPM
Par défaut, le script de configuration installe des certificats pour chaque fournisseur de TPM. Si vous souhaitez importer uniquement des certificats pour votre fournisseur de TPM spécifique, supprimez les dossiers des fournisseurs de TPM non approuvés par votre organisation.
Installez le package de certification de confiance en exécutant le script d’installation dans le dossier développé.
cd .\TrustedTPM .\setup.cmd
Pour ajouter de nouveaux certificats ou ceux intentionnellement ignorés lors d’une installation antérieure, répétez simplement les étapes ci-dessus sur chaque nœud de votre cluster SGH. Les certificats existants resteront approuvés, mais les nouveaux certificats trouvés dans le fichier cab développé seront ajoutés aux magasins de TPM approuvés.