Exportar e importar um certificado de chave de endosso do TPM

Você pode exportar um certificado de chave de endosso do TPM (EK) de um host ESXi e importá-lo para o cluster vSphere Trust Authority. Você faz isso quando deseja confiar em um host ESXi individual no cluster confiável.

Para importar um certificado TPM EK para o Trust Authority Cluster, você deve alterar o tipo de atestado padrão do Trust Authority Cluster para aceitar certificados EK. O tipo de atestado padrão aceita certificados de Autoridade de Certificação (CA) do TPM. Alguns TPMs não incluem certificados EK. Se você quiser confiar em hosts ESXi individuais, o TPM deverá incluir um certificado EK.

Observação: Armazene os arquivos de certificado EK exportados em um local seguro, caso você precise restaurar a configuração do vSphere Trust Authority.

Pré-requisitos

Procedimento

Certifique-se de que você esteja conectado como administrador do Trust Authority ao vCenter Server do Trust Authority Cluster.
Por exemplo, você pode inserir $global:defaultviservers para mostrar todos os servidores conectados.

(Opcional) Se necessário, você pode executar os seguintes comandos para garantir que esteja conectado ao vCenter Server do Trust Authority Cluster.

Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'

Para alterar o tipo de atestado do Cluster de Autoridade de Confiança:
1. Execute o cmdlet Get-TrustAuthorityCluster para mostrar os clusters gerenciados por este vCenter Server.
```
Get-TrustAuthorityCluster
```
  Os clusters são exibidos.
2. Atribua as informações de Get-TrustAuthorityCluster a uma variável.
  Por exemplo, esse comando atribui o cluster chamado vTA Cluster à variável $vTA.
```
$vTA = Get-TrustAuthorityCluster 'vTA Cluster'
```
3. Atribua as informações de Get-TrustAuthorityTpm2AttestationSettings a uma variável.
  Por exemplo, este comando atribui as informações à variável $tpm2Settings.
```
$tpm2Settings = Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA
```
4. Execute o cmdlet Set-TrustAuthorityTpm2AttestationSettings, especificando RequireEndorsementKey, ou RequireCertificateValidation, ou ambos.
  Por exemplo, este comando especifica RequireEndorsementKey.
```
Set-TrustAuthorityTpm2AttestationSettings -Tpm2AttestationSettings $tpm2Settings -RequireEndorsementKey
```
  O sistema responde com um prompt de confirmação semelhante ao seguinte.
```
Confirmation
Configure the Tpm2AttestationSettings 'TrustAuthorityTpm2AttestationSettings-domain-c8' with the following parameters:
 RequireCertificateValidation: False
 RequireEndorsementKey: True
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):
```
5. No prompt de confirmação, pressione Enter. (O padrão é Y .)
  A saída mostra um status de True para a configuração especificada. Por exemplo, esse status mostra Verdadeiro para Exigir Chave de Endosso e Falso para Exigir Validação de Certificado.
```
Name                                     RequireEndorsementKey          RequireCertificateValidation   Health
----                                     ---------------------          ----------------------------   ------
TrustAuthorityTpm2AttestationSettings... True                           False                          Ok
```
Para exportar o certificado TPM EK:
1. Desconecte-se do vCenter Server do cluster do Trust Authority.
```
Disconnect-VIServer -server * -Confirm:$false
```
2. Execute o cmdlet Connect-VIServer para se conectar como usuário raiz a um dos hosts ESXi no cluster confiável.
```
Connect-VIServer -server host_ip_address -User root -Password 'password'
```
3. Execute o cmdlet Get-VMHost para confirmar o host ESXi.
```
Get-VMHost
```
  As informações do host são exibidas.
4. Atribua Get-VMHost a uma variável.
  Por exemplo:
```
$vmhost = Get-VMHost
```
5. Execute o cmdlet Export-Tpm2EndorsementKey para exportar o certificado EK do host ESXi.
  Por exemplo, esse comando exporta o certificado EK para o arquivo tpm2ek.json .
```
Export-Tpm2EndorsementKey -VMHost $vmhost -FilePath C:\vta\tpm2ek.json
```
  O arquivo é criado.
Para importar o TPM EK:
1. Desconecte-se do host ESXi no cluster confiável.
```
Disconnect-VIServer -server * -Confirm:$false
```
2. Conecte-se ao vCenter Server do cluster do Trust Authority usando o usuário administrador do Trust Authority.
```
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
```
3. Execute o cmdlet Get-TrustAuthorityCluster.
```
Get-TrustAuthorityCluster
```
  Os clusters no Trust Authority Cluster são exibidos.
4. Atribua as informações de Get-TrustAuthorityCluster ' cluster ' a uma variável.
  Por exemplo, este comando atribui as informações do cluster vTA Cluster à variável $vTA.
```
$vTA = Get-TrustAuthorityCluster ‘vTA Cluster’
```
5. Execute o cmdlet New-TrustAuthorityTpm2EndorsementKey.
  Por exemplo, este comando usa o arquivo tpm2ek.json exportado anteriormente na Etapa 4.
```
New-TrustAuthorityTpm2EndorsementKey -TrustAuthorityCluster $vTA -FilePath C:\vta\tpm2ek.json
```
  As principais informações de endosso importadas são exibidas.

Resultados

O tipo de atestado do Trust Authority Cluster foi alterado para aceitar certificados EK. O certificado EK é exportado do Trusted Cluster e importado para o Trust Authority Cluster.

Exemplo: Exportar e importar um certificado TPM EK

Este exemplo mostra como usar o PowerCLI para alterar o tipo de atestado padrão do Trust Authority Cluster para aceitar certificados EK, exportar o certificado TPM EK do host ESXi no Trusted Cluster e importá-lo para o Trust Authority Cluster. A tabela a seguir mostra os componentes e valores de exemplo que são usados.

Tabela 1. Exemplo de configuração de vSphere Trust Authority
Componente	Valor
vCenter Server para Trust Authority Cluster	192.168.210.22
Variável `$vTA`	Get-TrustAuthorityCluster 'vTA Cluster'
Variável `$tpm2Settings`	Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA
Variável `$vmhost`	Get-VMHost
Host ESXi no cluster confiável	192.168.110.51
Administrador do Trust Authority	[email protected]
Diretório local para conter o arquivo de saída	C: \ vta

PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.210.22                 443   VSPHERE.LOCAL\TrustedAdmin

PS C:\Users\Administrator> Get-TrustAuthorityCluster

Name                 State                Id
----                 -----                --
vTA Cluster          Enabled              TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster 'vTA Cluster'

PS C:\Users\Administrator> $tpm2Settings = Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA

PS C:\Users\Administrator> Set-TrustAuthorityTpm2AttestationSettings -Tpm2AttestationSettings $tpm2Settings -RequireEndorsementKey

Confirmation
Configure the Tpm2AttestationSettings 'TrustAuthorityTpm2AttestationSettings-domain-c8' with the following parameters:
 RequireCertificateValidation: False
 RequireEndorsementKey: True
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): y

Name                                     RequireEndorsementKey          RequireCertificateValidation   Health
----                                     ---------------------          ----------------------------   ------
TrustAuthorityTpm2AttestationSettings... True                           False                          Ok

PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.51                 443   root

PS C:\Users\Administrator> Get-VMHost

Name                 ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz   MemoryUsageGB   MemoryTotalGB Version
----                 --------------- ---------- ------ ----------- -----------   -------------   ------------- -------
192.168.110.51       Connected       PoweredOn       4          55        9576           1.230           7.999   7.0.0

PS C:\Users\Administrator> $vmhost = Get-VMHost
PS C:\Users\Administrator> Export-Tpm2EndorsementKey -VMHost $vmhost -FilePath C:\vta\tpm2ek.json

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----        12/3/2019  10:16 PM           2391 tpm2ek.json

PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.210.22                 443   VSPHERE.LOCAL\TrustedAdmin

PS C:\Users\Administrator> Get-TrustAuthorityCluster

Name                 State                Id
----                 -----                --
vTA Cluster          Enabled              TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster ‘vTA Cluster’
PS C:\Users\Administrator> New-TrustAuthorityTpm2EndorsementKey -TrustAuthorityCluster $vTA -FilePath C:\vta\tpm2ek.json

TrustAuthorityClusterId                  Name                                     Health
-----------------------                  ----                                     ------
TrustAuthorityCluster-domain-c8          1a520e42-4db8-1cbb-6dd7-f493fd921ccb     Ok

O que Fazer Depois

Continue com Importar as informações do host confiável para o cluster do Trust Authority.