신뢰할 수 있는 TPM 루트 인증서 설치
TPM 증명을 사용하도록 HGS를 구성하는 경우 서버에서 TPM 공급업체를 신뢰하도록 HGS도 구성해야 합니다.
이 추가 확인 프로세스를 통해 신뢰할 수 있는 인증된 TPM만 HGS를 사용하여 증명할 수 있습니다.
Add-HgsAttestationTpmHost로 신뢰할 수 없는 TPM을 등록하려고 하면 TPM 공급업체가 신뢰할 수 없음을 나타내는 오류가 표시됩니다.
TPM을 신뢰하기 위해서는 서버의 TPM에서 인증 키에 서명하는 데 사용되는 루트 및 중간 서명 인증서를 HGS에 설치해야 합니다. 데이터 센터에서 두 개 이상의 TPM 모델을 사용하는 경우 각 모델에 대해 서로 다른 인증서를 설치해야 할 수 있습니다. HGS에서는 공급업체 인증서에 대한 "TrustedTPM_RootCA" 및 "TrustedTPM_IntermediateCA" 인증서 저장소를 살펴봅니다.
참고 항목
TPM 공급업체 인증서는 Windows에 기본적으로 설치된 인증서와는 다르며 TPM 공급업체에서 사용하는 특정 루트 및 중간 인증서를 나타냅니다.
Microsoft에서는 사용자의 편의를 위해 신뢰할 수 있는 TPM 루트 및 중간 인증서 컬렉션을 게시합니다. 아래 단계를 사용하여 이러한 인증서를 설치할 수 있습니다. TPM 인증서가 아래 패키지에 포함되지 않으면 TPM 공급업체 또는 서버 OEM에 문의하여 특정 TPM 모델에 대한 루트 및 중간 인증서를 가져옵니다.
모든 HGS 서버에서 다음 단계를 반복합니다.
https://go.microsoft.com/fwlink/?linkid=2097925에서 최신 패키지를 다운로드합니다.
Cab 파일의 서명을 확인하여 유효성을 확인합니다. 서명이 유효하지 않은 경우에는 진행하지 마세요.
Get-AuthenticodeSignature .\TrustedTpm.cab다음은 몇 가지 출력 예입니다.
Directory: C:\Users\Administrator\Downloads SignerCertificate Status Path ----------------- ------ ---- 0DD6D4D4F46C0C7C2671962C4D361D607E370940 Valid TrustedTpm.cabcab 파일을 확장합니다.
mkdir .\TrustedTPM expand.exe -F:* <Path-To-TrustedTpm.cab> .\TrustedTPM기본적으로 구성 스크립트는 모든 TPM 공급업체의 인증서를 설치합니다. 특정 TPM 공급업체에 대한 인증서만 가져오려는 경우 조직에서 신뢰하지 않는 TPM 공급업체의 폴더를 삭제합니다.
확장된 폴더에서 설치 스크립트를 실행하여 신뢰할 수 있는 인증서 패키지를 설치합니다.
cd .\TrustedTPM .\setup.cmd
새로운 인증서 또는 이전 설치 중에 의도적으로 건너뛴 인증서를 추가하려면 HGS 클러스터의 모든 노드에서 위의 단계를 반복하면 됩니다. 기존 인증서는 신뢰할 수 있지만 확장된 cab 파일에 있는 새로운 인증서가 신뢰할 수 있는 TPM 저장소에 추가됩니다.