Vous pouvez exporter un certificat de paire de clés de type EK (Endorsement Key) du TPM à partir d'un hôte ESXi et l'importer dans le cluster Autorité d'approbation vSphere . C'est le cas lorsque vous souhaitez approuver un hôte ESXi individuel dans le cluster approuvé.
Pour importer un certificat de paire de clés de type EK (Endorsement Key) du TPM dans le cluster d'autorité d'approbation, vous devez modifier le type d'attestation par défaut du cluster d'autorité d'approbation pour accepter les certificats de type EK. Le type d'attestation par défaut accepte les certificats d'autorité de certification (CA) du TPM. Certains TPM n'incluent pas de certificats EK. Si vous souhaitez approuver des hôtes ESXi de manière individuelle, le TPM doit inclure un certificat EK.
Conditions préalables
Procédure
Résultats
Le type d'attestation du cluster d'autorité d'approbation est modifié pour accepter les certificats de type EK (Endorsement Key). Le certificat de type EK (Endorsement Key) est exporté à partir du cluster approuvé et importé dans le cluster d'autorité d'approbation.
Exemple : Exportation et importation d'un certificat de paire de clés de type EK (Endorsement Key) du TPM
Cet exemple montre comment utiliser PowerCLI pour modifier le type d'attestation par défaut du cluster de l'autorité d'approbation pour accepter les certificats de type EK (Endorsement Key), exporter le certificat du TPM de l'hôte ESXi dans le cluster approuvé et l'importer dans le cluster d'autorité d'approbation. Le tableau suivant montre des exemples de composants et de valeurs qui sont utilisés.
Composant | Valeur |
---|---|
Instance de vCenter Server pour le cluster d'autorité d'approbation | 192.168.210.22 |
Variable $vTA |
Get-TrustAuthorityCluster 'vTA Cluster' |
Variable $tpm2Settings |
Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA |
Variable $vmhost |
Get-VMHost |
Hôte ESXi dans un cluster approuvé | 192.168.110.51 |
Administrateur d'autorité d'approbation | [email protected] |
Répertoire local contenant le fichier de sortie | C:\vta |
PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!' Name Port User ---- ---- ---- 192.168.210.22 443 VSPHERE.LOCAL\TrustedAdmin PS C:\Users\Administrator> Get-TrustAuthorityCluster Name State Id ---- ----- -- vTA Cluster Enabled TrustAuthorityCluster-domain-c8 PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster 'vTA Cluster' PS C:\Users\Administrator> $tpm2Settings = Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA PS C:\Users\Administrator> Set-TrustAuthorityTpm2AttestationSettings -Tpm2AttestationSettings $tpm2Settings -RequireEndorsementKey Confirmation Configure the Tpm2AttestationSettings 'TrustAuthorityTpm2AttestationSettings-domain-c8' with the following parameters: RequireCertificateValidation: False RequireEndorsementKey: True [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): y Name RequireEndorsementKey RequireCertificateValidation Health ---- --------------------- ---------------------------- ------ TrustAuthorityTpm2AttestationSettings... True False Ok PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false PS C:\Users\Administrator> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!' Name Port User ---- ---- ---- 192.168.110.51 443 root PS C:\Users\Administrator> Get-VMHost Name ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz MemoryUsageGB MemoryTotalGB Version ---- --------------- ---------- ------ ----------- ----------- ------------- ------------- ------- 192.168.110.51 Connected PoweredOn 4 55 9576 1.230 7.999 7.0.0 PS C:\Users\Administrator> $vmhost = Get-VMHost PS C:\Users\Administrator> Export-Tpm2EndorsementKey -VMHost $vmhost -FilePath C:\vta\tpm2ek.json Mode LastWriteTime Length Name ---- ------------- ------ ---- -a---- 12/3/2019 10:16 PM 2391 tpm2ek.json PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!' Name Port User ---- ---- ---- 192.168.210.22 443 VSPHERE.LOCAL\TrustedAdmin PS C:\Users\Administrator> Get-TrustAuthorityCluster Name State Id ---- ----- -- vTA Cluster Enabled TrustAuthorityCluster-domain-c8 PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster ‘vTA Cluster’ PS C:\Users\Administrator> New-TrustAuthorityTpm2EndorsementKey -TrustAuthorityCluster $vTA -FilePath C:\vta\tpm2ek.json TrustAuthorityClusterId Name Health ----------------------- ---- ------ TrustAuthorityCluster-domain-c8 1a520e42-4db8-1cbb-6dd7-f493fd921ccb Ok
Que faire ensuite
Continuez avec Importer les informations de l'hôte approuvé dans le cluster d'autorité d'approbation.