TPM에서 신뢰할 수 있는 증명에 대한 호스트 정보 추가
TPM 모드의 경우 패브릭 관리자는 각각 HGS 구성에 추가해야 하는 세 가지 종류의 호스트 정보를 캡처합니다.
- 각 Hyper-V 호스트에 대한 TPM 식별자(EKpub)
- Hyper-V 호스트에 허용되는 이진 파일의 허용 목록인 코드 무결성 정책
- 동일한 하드웨어 클래스에서 실행되는 Hyper-V 호스트 집합을 나타내는 TPM 기준선(부팅 측정값)
패브릭 관리자가 정보를 캡처한 후 다음 절차에 설명된 바에 따라 HGS 구성에 추가합니다.
EKpub 정보가 포함된 XML 파일을 가져와 HGS 서버에 복사합니다. 호스트당 하나의 XML 파일이 있습니다. 그런 다음 HGS 서버의 관리자 권한 Windows PowerShell 콘솔에서 아래 명령을 실행합니다. 각 XML 파일에 대해 명령을 반복합니다.
Add-HgsAttestationTpmHost -Path <Path><Filename>.xml -Name <HostName>참고 항목
신뢰할 수 없는 EKCert(인증 키 인증서)에 대한 TPM 식별자를 추가할 때 오류가 발생하는 경우 HGS 노드에 신뢰할 수 있는 TPM 루트 인증서가 추가되었는지 확인합니다. 또한 일부 TPM 공급업체는 EKCert를 사용하지 않습니다. 메모장과 같은 편집기에서 XML 파일을 열고 EKCert를 찾을 수 없음을 나타내는 오류 메시지를 확인하여 EKCert가 누락되었는지 확인할 수 있습니다. 이 경우 컴퓨터의 TPM이 인증된 것으로 신뢰하는 경우
-Force플래그를 사용하여 이 안전 검사를 재정의하고 HGS에 호스트 식별자를 추가할 수 있습니다.패브릭 관리자가 호스트에 대해 만든 코드 무결성 정책을 이진 형식(*.p7b)으로 가져옵니다. HGS 서버에 복사합니다. 그런 후 다음 명령을 실행합니다.
<PolicyName>의 경우 적용되는 호스트 유형을 설명하는 CI 정책의 이름을 지정합니다. 모범 사례는 컴퓨터의 메이크/모델과 컴퓨터에서 실행되는 특수 소프트웨어 구성의 이름을 지정하는 것입니다.<Path>의 경우 코드 무결성 정책의 경로 및 파일 이름을 지정합니다.Add-HgsAttestationCIPolicy -Path <Path> -Name '<PolicyName>'참고 항목
서명된 코드 무결성 정책을 사용하는 경우 동일한 정책의 서명되지 않은 복사본을 HGS에 등록합니다. 코드 무결성 정책의 서명은 정책 업데이트를 제어하는 데 사용되지만 호스트 TPM으로 측정되지 않으므로 HGS에서 확인할 수 없습니다.
패브릭 관리자가 참조 호스트에서 캡처한 TCG 로그 파일을 가져옵니다. HGS 서버에 파일을 복사합니다. 그런 후 다음 명령을 실행합니다. 일반적으로 정책 이름을 나타내는 하드웨어 클래스(예: "제조업체 모델 수정 버전")의 이름을 지정합니다.
Add-HgsAttestationTpmPolicy -Path <Filename>.tcglog -Name '<PolicyName>'
이렇게 하면 TPM 모드에 대한 HGS 클러스터를 구성하는 프로세스가 완료됩니다. 패브릭 관리자는 호스트에 대한 구성을 완료하기 전에 HGS에서 두 개의 URL을 제공해야 할 수 있습니다. 이러한 URL을 가져오려면 HGS 서버에서 Get-HgsServer를 실행합니다.