Sie können ein TPM Endorsement Key (EK)-Zertifikat von einem ESXi-Host exportieren und in den vSphere Trust Authority-Cluster importieren. Führen Sie den Vorgang aus, wenn Sie einem einzelnen ESXi-Host im vertrauenswürdigen Cluster vertrauen möchten.
Um ein TPM EK-Zertifikat in den Trust Authority-Cluster zu importieren, müssen Sie den standardmäßigen Nachweistyp des Trust Authority-Clusters ändern, damit dieser die Zertifikate akzeptiert. Der standardmäßige Nachweistyp akzeptiert Zertifikate der TPM-Zertifizierungsstelle (Certificate Authority, CA). Bestimmte TPMs enthalten keine EK-Zertifikate. Wenn Sie einzelne ESXi-Hosts als vertrauenswürdig einstufen möchten, muss das TPM ein EK-Zertifikat enthalten.
Voraussetzungen
Prozedur
Ergebnisse
Der Nachweistyp des Trust Authority-Clusters wird geändert, um die EK-Zertifikate zu akzeptieren. Das EK-Zertifikat wird aus dem vertrauenswürdigen Cluster exportiert und in den Trust Authority-Cluster importiert.
Beispiel: Exportieren und Importieren eines TPM EK-Zertifikats
Dieses Beispiel zeigt, wie Sie PowerCLI verwenden können, um den standardmäßigen Nachweistyp des Trust Authority-Clusters zu ändern, um EK-Zertifikate zu akzeptieren, das TPM EK-Zertifikat vom ESXi-Host im vertrauenswürdigen Cluster zu exportieren und es in den Trust Authority-Cluster zu importieren. In der folgenden Tabelle werden die verwendeten Beispielkomponenten und -werte angezeigt.
Komponente | Wert |
---|---|
vCenter Server für Trust Authority-Cluster | 192.168.210.22 |
Variable $vTA |
Get-TrustAuthorityCluster 'vTA Cluster' |
Variable $tpm2Settings |
Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA |
Variable $vmhost |
Get-VMHost |
ESXi-Host im vertrauenswürdigen Cluster | 192.168.110.51 |
Trust Authority-Administrator | [email protected] |
Lokales Verzeichnis zum Speichern von Ausgabedateien | C:\vta |
PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!' Name Port User ---- ---- ---- 192.168.210.22 443 VSPHERE.LOCAL\TrustedAdmin PS C:\Users\Administrator> Get-TrustAuthorityCluster Name State Id ---- ----- -- vTA Cluster Enabled TrustAuthorityCluster-domain-c8 PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster 'vTA Cluster' PS C:\Users\Administrator> $tpm2Settings = Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA PS C:\Users\Administrator> Set-TrustAuthorityTpm2AttestationSettings -Tpm2AttestationSettings $tpm2Settings -RequireEndorsementKey Confirmation Configure the Tpm2AttestationSettings 'TrustAuthorityTpm2AttestationSettings-domain-c8' with the following parameters: RequireCertificateValidation: False RequireEndorsementKey: True [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): y Name RequireEndorsementKey RequireCertificateValidation Health ---- --------------------- ---------------------------- ------ TrustAuthorityTpm2AttestationSettings... True False Ok PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false PS C:\Users\Administrator> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!' Name Port User ---- ---- ---- 192.168.110.51 443 root PS C:\Users\Administrator> Get-VMHost Name ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz MemoryUsageGB MemoryTotalGB Version ---- --------------- ---------- ------ ----------- ----------- ------------- ------------- ------- 192.168.110.51 Connected PoweredOn 4 55 9576 1.230 7.999 7.0.0 PS C:\Users\Administrator> $vmhost = Get-VMHost PS C:\Users\Administrator> Export-Tpm2EndorsementKey -VMHost $vmhost -FilePath C:\vta\tpm2ek.json Mode LastWriteTime Length Name ---- ------------- ------ ---- -a---- 12/3/2019 10:16 PM 2391 tpm2ek.json PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!' Name Port User ---- ---- ---- 192.168.210.22 443 VSPHERE.LOCAL\TrustedAdmin PS C:\Users\Administrator> Get-TrustAuthorityCluster Name State Id ---- ----- -- vTA Cluster Enabled TrustAuthorityCluster-domain-c8 PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster ‘vTA Cluster’ PS C:\Users\Administrator> New-TrustAuthorityTpm2EndorsementKey -TrustAuthorityCluster $vTA -FilePath C:\vta\tpm2ek.json TrustAuthorityClusterId Name Health ----------------------- ---- ------ TrustAuthorityCluster-domain-c8 1a520e42-4db8-1cbb-6dd7-f493fd921ccb Ok
Nächste Maßnahme
Fahren Sie mit Importieren der Informationen des vertrauenswürdigen Hosts in den Trust Authority-Cluster fort.