Vous pouvez exporter un certificat de paire de clés de type EK (Endorsement Key) du TPM à partir d'un hôte ESXi et l'importer dans le cluster Autorité d'approbation vSphere . C'est le cas lorsque vous souhaitez approuver un hôte ESXi individuel dans le cluster approuvé.

Pour importer un certificat de paire de clés de type EK (Endorsement Key) du TPM dans le cluster d'autorité d'approbation, vous devez modifier le type d'attestation par défaut du cluster d'autorité d'approbation pour accepter les certificats de type EK. Le type d'attestation par défaut accepte les certificats d'autorité de certification (CA) du TPM. Certains TPM n'incluent pas de certificats EK. Si vous souhaitez approuver des hôtes ESXi de manière individuelle, le TPM doit inclure un certificat EK.

Note : Stockez les fichiers exportés de certificats EK à un emplacement sûr, au cas où vous deviez restaurer la configuration de Autorité d'approbation vSphere .

Conditions préalables

Procédure

  1. Assurez-vous que vous êtes connecté en tant qu'administrateur d'autorité d'approbation à l'instance de vCenter Server du cluster d'autorité d'approbation.
    Par exemple, vous pouvez entrer la commande $global:defaultviservers pour afficher tous les serveurs connectés.
  2. (Facultatif) Si nécessaire, vous pouvez exécuter les commandes suivantes pour vous assurer que vous êtes connecté à l'instance de vCenter Server du cluster d'autorité d'approbation.
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
  3. Pour modifier le type d'attestation du cluster d'autorité d'approbation :
    1. Exécutez l'applet de commande Get-TrustAuthorityCluster pour afficher les clusters gérés par cette instance de vCenter Server.
      Get-TrustAuthorityCluster
      Les clusters s'affichent.
    2. Attribuez les informations de Get-TrustAuthorityCluster à une variable.
      Par exemple, cette commande attribue le cluster nommé vTA Cluster à la variable $vTA.
      $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
    3. Attribuez les informations de Get-TrustAuthorityTpm2AttestationSettings à une variable.
      Par exemple, cette commande attribue les informations à la variable $tpm2Settings.
      $tpm2Settings = Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA
    4. Exécutez l'applet de commande Set-TrustAuthorityTpm2AttestationSettings, en spécifiant RequireEndorsementKey ou RequireCertificateValidation, ou les deux.
      Par exemple, cette commande spécifie RequireEndorsementKey.
      Set-TrustAuthorityTpm2AttestationSettings -Tpm2AttestationSettings $tpm2Settings -RequireEndorsementKey
      Le système répond avec une invite de confirmation semblable à la suivante.
      Confirmation
      Configure the Tpm2AttestationSettings 'TrustAuthorityTpm2AttestationSettings-domain-c8' with the following parameters:
       RequireCertificateValidation: False
       RequireEndorsementKey: True
      [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):
    5. Lorsque vous êtes invité à confirmer, appuyez sur Entrée. (La valeur par défaut est Y.)
      La sortie indique l'état True pour le paramètre spécifié. Par exemple, cet état indique True pour exiger une de paire de clés de type EK (Endorsement Key) et False pour exiger la validation du certificat.
      Name                                     RequireEndorsementKey          RequireCertificateValidation   Health
      ----                                     ---------------------          ----------------------------   ------
      TrustAuthorityTpm2AttestationSettings... True                           False                          Ok
  4. Pour exporter le certificat de paire de clés de type EK (Endorsement Key) du TPM :
    1. Déconnectez-vous de l'instance de vCenter Server du cluster d'autorité d'approbation.
      Disconnect-VIServer -server * -Confirm:$false
      
    2. Exécutez l'applet de commande Connect-VIServer pour vous connecter en tant qu'utilisateur racine à l'un des hôtes ESXi dans le cluster approuvé.
      Connect-VIServer -server host_ip_address -User root -Password 'password'
    3. Exécutez l'applet de commande Get-VMHost pour confirmer l'hôte ESXi.
      Get-VMHost
      Les informations de l'hôte s'affichent.
    4. Attribuez Get-VMHost à une variable.
      Par exemple :
      $vmhost = Get-VMHost
    5. Exécutez l'applet de commande Export-Tpm2EndorsementKey pour exporter le certificat de type EK (Endorsement Key) de l'hôte ESXi.
      Par exemple, cette commande exporte le certificat de type EK (Endorsement Key) vers le fichier tpm2ek.json.
      Export-Tpm2EndorsementKey -VMHost $vmhost -FilePath C:\vta\tpm2ek.json
      Le fichier est créé.
  5. Pour importer la paire de clés de type EK (Endorsement Key) du TPM :
    1. Déconnectez-vous de l'hôte ESXi dans le cluster approuvé.
      Disconnect-VIServer -server * -Confirm:$false
      
    2. Connectez-vous à l'instance de vCenter Server du cluster approuvé à l'aide de l'utilisateur administrateur de l'autorité d'approbation.
      Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
    3. Exécutez la cmdlet Get-TrustAuthorityCluster.
      Get-TrustAuthorityCluster
      Les clusters du cluster d'autorité d'approbation s'affichent.
    4. Attribuez les informations « cluster » Get-TrustAuthorityCluster à une variable.
      Par exemple, cette commande attribue les informations sur le cluster vTA Cluster à la variable $vTA.
      $vTA = Get-TrustAuthorityCluster ‘vTA Cluster’
    5. Exécutez la cmdlet New-TrustAuthorityTpm2EndorsementKey.
      Par exemple, cette commande utilise le fichier de tpm2ek.json précédemment exporté à l'étape 4.
      New-TrustAuthorityTpm2EndorsementKey -TrustAuthorityCluster $vTA -FilePath C:\vta\tpm2ek.json
      Les informations sur la paire de clés de type EK (Endorsement Key) importée s'affichent.

Résultats

Le type d'attestation du cluster d'autorité d'approbation est modifié pour accepter les certificats de type EK (Endorsement Key). Le certificat de type EK (Endorsement Key) est exporté à partir du cluster approuvé et importé dans le cluster d'autorité d'approbation.

Exemple : Exportation et importation d'un certificat de paire de clés de type EK (Endorsement Key) du TPM

Cet exemple montre comment utiliser PowerCLI pour modifier le type d'attestation par défaut du cluster de l'autorité d'approbation pour accepter les certificats de type EK (Endorsement Key), exporter le certificat du TPM de l'hôte ESXi dans le cluster approuvé et l'importer dans le cluster d'autorité d'approbation. Le tableau suivant montre des exemples de composants et de valeurs qui sont utilisés.

Tableau 1. Exemple de configuration de Autorité d'approbation vSphere
Composant Valeur
Instance de vCenter Server pour le cluster d'autorité d'approbation 192.168.210.22
Variable $vTA Get-TrustAuthorityCluster 'vTA Cluster'
Variable $tpm2Settings Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA
Variable $vmhost Get-VMHost
Hôte ESXi dans un cluster approuvé 192.168.110.51
Administrateur d'autorité d'approbation [email protected]
Répertoire local contenant le fichier de sortie C:\vta
PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.210.22                 443   VSPHERE.LOCAL\TrustedAdmin

PS C:\Users\Administrator> Get-TrustAuthorityCluster

Name                 State                Id
----                 -----                --
vTA Cluster          Enabled              TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster 'vTA Cluster'

PS C:\Users\Administrator> $tpm2Settings = Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA

PS C:\Users\Administrator> Set-TrustAuthorityTpm2AttestationSettings -Tpm2AttestationSettings $tpm2Settings -RequireEndorsementKey

Confirmation
Configure the Tpm2AttestationSettings 'TrustAuthorityTpm2AttestationSettings-domain-c8' with the following parameters:
 RequireCertificateValidation: False
 RequireEndorsementKey: True
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): y

Name                                     RequireEndorsementKey          RequireCertificateValidation   Health
----                                     ---------------------          ----------------------------   ------
TrustAuthorityTpm2AttestationSettings... True                           False                          Ok

PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.51                 443   root

PS C:\Users\Administrator> Get-VMHost

Name                 ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz   MemoryUsageGB   MemoryTotalGB Version
----                 --------------- ---------- ------ ----------- -----------   -------------   ------------- -------
192.168.110.51       Connected       PoweredOn       4          55        9576           1.230           7.999   7.0.0

PS C:\Users\Administrator> $vmhost = Get-VMHost
PS C:\Users\Administrator> Export-Tpm2EndorsementKey -VMHost $vmhost -FilePath C:\vta\tpm2ek.json

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----        12/3/2019  10:16 PM           2391 tpm2ek.json

PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.210.22                 443   VSPHERE.LOCAL\TrustedAdmin

PS C:\Users\Administrator> Get-TrustAuthorityCluster

Name                 State                Id
----                 -----                --
vTA Cluster          Enabled              TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster ‘vTA Cluster’
PS C:\Users\Administrator> New-TrustAuthorityTpm2EndorsementKey -TrustAuthorityCluster $vTA -FilePath C:\vta\tpm2ek.json

TrustAuthorityClusterId                  Name                                     Health
-----------------------                  ----                                     ------
TrustAuthorityCluster-domain-c8          1a520e42-4db8-1cbb-6dd7-f493fd921ccb     Ok

Que faire ensuite

Continuez avec Importer les informations de l'hôte approuvé dans le cluster d'autorité d'approbation.