Exportar e importar um certificado de chave de endosso do TPM

Você pode exportar um certificado de chave de endosso do TPM (EK) de um host ESXi e importá-lo para o cluster vSphere Trust Authority. Faça isso quando quiser confiar em um host ESXi individual no Cluster Confiável.

Para importar um certificado TPM EK para o Cluster do Trust Authority, você deve alterar o tipo de atestado padrão do Cluster do Trust Authority para aceitar certificados EK. O tipo de atestado padrão aceita certificados de Autoridade de Certificação (CA) do TPM. Alguns TPMs não incluem certificados EK. Se você quiser confiar em hosts ESXi individuais, o TPM deverá incluir um certificado EK.

Observação: Armazene os arquivos de certificado EK exportados em um local seguro, caso você precise restaurar a configuração vSphere Trust Authority.

Pré-requisitos

Procedimento

Assegure-se de estar conectado como administrador do Trust Authority ao vCenter Server do Cluster do Trust Authority.
Por exemplo, você pode digitar $global:defaultviservers para mostrar todos os servidores conectados.

(Opcional) Se necessário, você pode executar os seguintes comandos para garantir que esteja conectado ao vCenter Server do Cluster do Trust Authority.

Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'

Para alterar o tipo de atestado do Cluster do Trust Authority:
1. Execute o cmdlet Get-TrustAuthorityCluster para mostrar os clusters gerenciados por este vCenter Server.
```
Get-TrustAuthorityCluster
```
  Os clusters são exibidos.
2. Atribua as informações de Get-TrustAuthorityCluster a uma variável.
  Por exemplo, esse comando atribui o cluster denominado vTA Cluster à variável $vTA.
```
$vTA = Get-TrustAuthorityCluster 'vTA Cluster'
```
3. Atribua as informações de Get-TrustAuthorityTpm2AttestationSettings a uma variável.
  Por exemplo, esse comando atribui as informações à variável $tpm2Settings.
```
$tpm2Settings = Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA
```
4. Execute o cmdlet Set-TrustAuthorityTpm2AttestationSettings, especificando RequireEndorsementKey, ou RequireCertificateValidation, ou ambos.
  Por exemplo, esse comando especifica RequireEndorsementKey.
```
Set-TrustAuthorityTpm2AttestationSettings -Tpm2AttestationSettings $tpm2Settings -RequireEndorsementKey
```
  O sistema responde com um prompt de confirmação semelhante ao seguinte.
```
Confirmation
Configure the Tpm2AttestationSettings 'TrustAuthorityTpm2AttestationSettings-domain-c8' with the following parameters:
 RequireCertificateValidation: False
 RequireEndorsementKey: True
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):
```
5. No prompt de confirmação, pressione Enter. (O padrão é Y.)
  A saída mostra um status True para a configuração especificada. Por exemplo, esse status mostra True para Exigir Chave de Endosso e False para Exigir Validação de Certificado.
```
Name                                     RequireEndorsementKey          RequireCertificateValidation   Health
----                                     ---------------------          ----------------------------   ------
TrustAuthorityTpm2AttestationSettings... True                           False                          Ok
```
Para exportar o certificado do TPM EK:
1. Desconecte-se do vCenter Server do Cluster do Trust Authority.
```
Disconnect-VIServer -server * -Confirm:$false
```
2. Execute o cmdlet Connect-VIServer para se conectar como usuário raiz a um dos hosts ESXi no Cluster Confiável.
```
Connect-VIServer -server host_ip_address -User root -Password 'password'
```
3. Execute o cmdlet Get-VMHost para confirmar o host ESXi.
```
Get-VMHost
```
  As informações do host são exibidas.
4. Atribua Get-VMHost a uma variável.
  Por exemplo:
```
$vmhost = Get-VMHost
```
5. Execute o cmdlet Export-Tpm2EndorsementKey para exportar o certificado EK do host ESXi.
  Por exemplo, esse comando exporta o certificado EK para o arquivo tpm2ek.json.
```
Export-Tpm2EndorsementKey -VMHost $vmhost -FilePath C:\vta\tpm2ek.json
```
  O arquivo é criado.
Para importar o TPM EK:
1. Desconecte-se do host ESXi no cluster confiável.
```
Disconnect-VIServer -server * -Confirm:$false
```
2. Conecte-se ao vCenter Server do Cluster do Trust Authority usando o usuário administrador do Trust Authority.
```
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
```
3. Execute o cmdlet Get-TrustAuthorityCluster.
```
Get-TrustAuthorityCluster
```
  Os clusters no Cluster do Trust Authority são exibidos.
4. Atribua as informações de Get-TrustAuthorityCluster 'cluster' a uma variável.
  Por exemplo, esse comando atribui as informações do cluster vTA Cluster à variável $vTA.
```
$vTA = Get-TrustAuthorityCluster ‘vTA Cluster’
```
5. Execute o cmdlet New-TrustAuthorityTpm2EndorsementKey.
  Por exemplo, esse comando usa o arquivo tpm2ek.json exportado anteriormente na Etapa 4.
```
New-TrustAuthorityTpm2EndorsementKey -TrustAuthorityCluster $vTA -FilePath C:\vta\tpm2ek.json
```
  As informações de chave de endosso importadas são exibidas.

Resultados

O tipo de atestado do Cluster do Trust Authority foi alterado para aceitar certificados EK. O certificado EK é exportado do Cluster Confiável e importado para o Cluster do Trust Authority.

Exemplo: Exportar e importar um certificado TPM EK

Este exemplo mostra como usar PowerCLI para alterar o tipo de atestado padrão do Cluster do Trust Authority para aceitar certificados EK, exportar o certificado TPM EK do host ESXi no Cluster Confiável e importá-lo para o Cluster do Trust Authority. A tabela a seguir mostra os componentes e os valores de exemplo que são usados.

Tabela 1. Exemplo de configuração do vSphere Trust Authority
Componente	Valor
vCenter Server para Cluster do Trust Authority	192.168.210.22
Variável `$vTA`	Get-TrustAuthorityCluster 'vTA Cluster'
Variável `$tpm2Settings`	Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA
Variável `$vmhost`	Get-VMHost
ESXi host no cluster confiável	192.168.110.51
Administrador do Trust Authority	[email protected]
Diretório local para conter o arquivo de saída	C:\vta

PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.210.22                 443   VSPHERE.LOCAL\TrustedAdmin

PS C:\Users\Administrator> Get-TrustAuthorityCluster

Name                 State                Id
----                 -----                --
vTA Cluster          Enabled              TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster 'vTA Cluster'

PS C:\Users\Administrator> $tpm2Settings = Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA

PS C:\Users\Administrator> Set-TrustAuthorityTpm2AttestationSettings -Tpm2AttestationSettings $tpm2Settings -RequireEndorsementKey

Confirmation
Configure the Tpm2AttestationSettings 'TrustAuthorityTpm2AttestationSettings-domain-c8' with the following parameters:
 RequireCertificateValidation: False
 RequireEndorsementKey: True
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): y

Name                                     RequireEndorsementKey          RequireCertificateValidation   Health
----                                     ---------------------          ----------------------------   ------
TrustAuthorityTpm2AttestationSettings... True                           False                          Ok

PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.51                 443   root

PS C:\Users\Administrator> Get-VMHost

Name                 ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz   MemoryUsageGB   MemoryTotalGB Version
----                 --------------- ---------- ------ ----------- -----------   -------------   ------------- -------
192.168.110.51       Connected       PoweredOn       4          55        9576           1.230           7.999   7.0.0

PS C:\Users\Administrator> $vmhost = Get-VMHost
PS C:\Users\Administrator> Export-Tpm2EndorsementKey -VMHost $vmhost -FilePath C:\vta\tpm2ek.json

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----        12/3/2019  10:16 PM           2391 tpm2ek.json

PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.210.22                 443   VSPHERE.LOCAL\TrustedAdmin

PS C:\Users\Administrator> Get-TrustAuthorityCluster

Name                 State                Id
----                 -----                --
vTA Cluster          Enabled              TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster ‘vTA Cluster’
PS C:\Users\Administrator> New-TrustAuthorityTpm2EndorsementKey -TrustAuthorityCluster $vTA -FilePath C:\vta\tpm2ek.json

TrustAuthorityClusterId                  Name                                     Health
-----------------------                  ----                                     ------
TrustAuthorityCluster-domain-c8          1a520e42-4db8-1cbb-6dd7-f493fd921ccb     Ok

O que Fazer Depois

Continue com Importar as Informações do Host Confiável para o Cluster do Trust Authority.