Sie können ein TPM Endorsement Key (EK)-Zertifikat von einem ESXi-Host exportieren und in den vSphere Trust Authority-Cluster importieren. Führen Sie den Vorgang aus, wenn Sie einem einzelnen ESXi-Host im vertrauenswürdigen Cluster vertrauen möchten.

Um ein TPM EK-Zertifikat in den Trust Authority-Cluster zu importieren, müssen Sie den standardmäßigen Nachweistyp des Trust Authority-Clusters ändern, damit dieser die Zertifikate akzeptiert. Der standardmäßige Nachweistyp akzeptiert Zertifikate der TPM-Zertifizierungsstelle (Certificate Authority, CA). Bestimmte TPMs enthalten keine EK-Zertifikate. Wenn Sie einzelne ESXi-Hosts als vertrauenswürdig einstufen möchten, muss das TPM ein EK-Zertifikat enthalten.

Hinweis: Speichern Sie die exportierten EK-Zertifikatsdateien an einem sicheren Ort für den Fall, dass Sie die vSphere Trust Authority-Konfiguration wiederherstellen müssen.

Voraussetzungen

Prozedur

  1. Stellen Sie sicher, dass Sie als Trust Authority-Administrator mit dem vCenter Server des Trust Authority-Clusters verbunden sind.
    Sie können beispielsweise $global:defaultviservers eingeben, um alle verbundenen Server anzuzeigen.
  2. (Optional) Sie können gegebenenfalls die folgenden Befehle ausführen, um sicherzustellen, dass Sie mit dem vCenter Server des Trust Authority-Clusters verbunden sind. 
    Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
  3. So ändern Sie den Nachweistyp des Trust Authority-Clusters:
    1. Führen Sie das Get-TrustAuthorityCluster-Cmdlet aus, um die von diesem vCenter Server verwalteten Cluster anzuzeigen. 
      Get-TrustAuthorityCluster
      Die Cluster werden angezeigt.
    2. Weisen Sie die Get-TrustAuthorityCluster-Informationen einer Variable zu.
      Beispiel: Dieser Befehl weist dem Cluster mit dem Namen vTA Cluster der Variable $vTA zu. 
      $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
    3. Weisen Sie die Get-TrustAuthorityTpm2AttestationSettings-Informationen einer Variable zu.
      Beispiel: Dieser Befehl weist die Informationen der Variable $tpm2Settings zu. 
      $tpm2Settings = Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA
    4. Starten Sie das Set-TrustAuthorityTpm2AttestationSettings-Cmdlet, indem Sie RequireEndorsementKey oder RequireCertificateValidation oder beides angeben.
      Beispiel: Dieser Befehl gibt RequireEndorsementKey an. 
      Set-TrustAuthorityTpm2AttestationSettings -Tpm2AttestationSettings $tpm2Settings -RequireEndorsementKey
      Das System antwortet mit einer Bestätigungseingabeaufforderung ähnlich der folgenden. 
      Confirmation
Configure the Tpm2AttestationSettings 'TrustAuthorityTpm2AttestationSettings-domain-c8' with the following parameters:
 RequireCertificateValidation: False
 RequireEndorsementKey: True
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):
    5. Drücken Sie an der Bestätigungsaufforderung die Eingabetaste. (Der Standardwert lautet Y.)
      Die Ausgabe zeigt den Status „true“ für die angegebene Einstellung an. Beispiel: Dieser Status zeigt „true“ für „Endorsement Key anfordern“ und „false“ für „Zertifikatvalidierung anfordern“ an. 
      Name                                     RequireEndorsementKey          RequireCertificateValidation   Health
----                                     ---------------------          ----------------------------   ------
TrustAuthorityTpm2AttestationSettings... True                           False                          Ok
  4. So exportieren Sie das TPM EK-Zertifikat:
    1. Trennen Sie die Verbindung mit dem vCenter Server des Trust Authority-Clusters. 
      Disconnect-VIServer -server * -Confirm:$false
    2. Führen Sie das Connect-VIServer-Cmdlet aus, um als Root-Benutzer eine Verbindung zu einem der ESXi-Hosts im vertrauenswürdigen Cluster herzustellen. 
      Connect-VIServer -server host_ip_address -User root -Password 'password'
    3. Starten Sie das Get-VMHost-Cmdlet, um den ESXi-Host zu bestätigen. 
      Get-VMHost
      Die Hostinformationen werden angezeigt.
    4. Weisen Sie Get-VMHost einer Variable zu.
      Beispiel: 
      $vmhost = Get-VMHost
    5. Führen Sie das Export-Tpm2EndorsementKey-Cmdlet zum Exportieren des EK-Zertifikats des ESXi-Hosts aus.
      Beispiel: Mit diesem Befehl wird das EK-Zertifikat in die Datei tpm2ek.json exportiert. 
      Export-Tpm2EndorsementKey -VMHost $vmhost -FilePath C:\vta\tpm2ek.json
      Die Datei wird erstellt.
  5. So importieren Sie das TPM EK:
    1. Trennen Sie die Verbindung mit dem ESXi-Host im vertrauenswürdigen Cluster. 
      Disconnect-VIServer -server * -Confirm:$false
    2. Stellen Sie mithilfe des Trust Authority-Administrators eine Verbindung zum vCenter Server des Trust Authority-Clusters her. 
      Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
    3. Führen Sie das Get-TrustAuthorityCluster-cmdlet aus. 
      Get-TrustAuthorityCluster
      Die Cluster im Trust Authority-Cluster werden angezeigt.
    4. Weisen Sie die Cluster-Informationen von Get-TrustAuthorityCluster einer Variable zu.
      Beispiel: Dieser Befehl weist die Informationen für Cluster vTA Cluster der Variable $vTA zu. 
      $vTA = Get-TrustAuthorityCluster ‘vTA Cluster’
    5. Führen Sie das New-TrustAuthorityTpm2EndorsementKey-cmdlet aus.
      Beispiel: Dieser Befehl verwendet die tpm2ek-Datei, die zuvor in Schritt 4 exportiert wurde. 
      New-TrustAuthorityTpm2EndorsementKey -TrustAuthorityCluster $vTA -FilePath C:\vta\tpm2ek.json
      Die importierten Endorsement Key-Informationen werden angezeigt.

Ergebnisse

Der Nachweistyp des Trust Authority-Clusters wird geändert, um die EK-Zertifikate zu akzeptieren. Das EK-Zertifikat wird aus dem vertrauenswürdigen Cluster exportiert und in den Trust Authority-Cluster importiert.

Beispiel: Exportieren und Importieren eines TPM EK-Zertifikats

Dieses Beispiel zeigt, wie Sie PowerCLI verwenden können, um den standardmäßigen Nachweistyp des Trust Authority-Clusters zu ändern, um EK-Zertifikate zu akzeptieren, das TPM EK-Zertifikat vom ESXi-Host im vertrauenswürdigen Cluster zu exportieren und es in den Trust Authority-Cluster zu importieren. In der folgenden Tabelle werden die verwendeten Beispielkomponenten und -werte angezeigt.

Tabelle 1. Beispiel eines vSphere Trust Authority-Setups
Komponente Wert
vCenter Server für Trust Authority-Cluster 192.168.210.22
Variable $vTA Get-TrustAuthorityCluster 'vTA Cluster'
Variable $tpm2Settings Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA
Variable $vmhost Get-VMHost
ESXi-Host im vertrauenswürdigen Cluster 192.168.110.51
Trust Authority-Administrator [email protected]
Lokales Verzeichnis zum Speichern von Ausgabedateien C:\vta 
PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.210.22                 443   VSPHERE.LOCAL\TrustedAdmin

PS C:\Users\Administrator> Get-TrustAuthorityCluster

Name                 State                Id
----                 -----                --
vTA Cluster          Enabled              TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster 'vTA Cluster'

PS C:\Users\Administrator> $tpm2Settings = Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA

PS C:\Users\Administrator> Set-TrustAuthorityTpm2AttestationSettings -Tpm2AttestationSettings $tpm2Settings -RequireEndorsementKey

Confirmation
Configure the Tpm2AttestationSettings 'TrustAuthorityTpm2AttestationSettings-domain-c8' with the following parameters:
 RequireCertificateValidation: False
 RequireEndorsementKey: True
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): y

Name                                     RequireEndorsementKey          RequireCertificateValidation   Health
----                                     ---------------------          ----------------------------   ------
TrustAuthorityTpm2AttestationSettings... True                           False                          Ok

PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.51                 443   root

PS C:\Users\Administrator> Get-VMHost

Name                 ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz   MemoryUsageGB   MemoryTotalGB Version
----                 --------------- ---------- ------ ----------- -----------   -------------   ------------- -------
192.168.110.51       Connected       PoweredOn       4          55        9576           1.230           7.999   7.0.0

PS C:\Users\Administrator> $vmhost = Get-VMHost
PS C:\Users\Administrator> Export-Tpm2EndorsementKey -VMHost $vmhost -FilePath C:\vta\tpm2ek.json

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----        12/3/2019  10:16 PM           2391 tpm2ek.json

PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.210.22                 443   VSPHERE.LOCAL\TrustedAdmin

PS C:\Users\Administrator> Get-TrustAuthorityCluster

Name                 State                Id
----                 -----                --
vTA Cluster          Enabled              TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster ‘vTA Cluster’
PS C:\Users\Administrator> New-TrustAuthorityTpm2EndorsementKey -TrustAuthorityCluster $vTA -FilePath C:\vta\tpm2ek.json

TrustAuthorityClusterId                  Name                                     Health
-----------------------                  ----                                     ------
TrustAuthorityCluster-domain-c8          1a520e42-4db8-1cbb-6dd7-f493fd921ccb     Ok

Nächste Maßnahme

Fahren Sie mit Importieren der Informationen des vertrauenswürdigen Hosts in den Trust Authority-Cluster fort.