Esportazione e importazione di un certificato della chiave di verifica dell'autenticità TPM

È possibile esportare un certificato della chiave di verifica dell'autenticità TPM da un host ESXi e importarlo nel cluster vSphere Trust Authority. È possibile farlo quando si desidera considerare attendibile un singolo host ESXi nel Cluster attendibile.

Per importare un certificato della chiave di verifica dell'autenticità TPM nel Cluster Trust Authority, è necessario modificare il tipo di attestazione predefinita del Cluster Trust Authority in modo che accetti i certificati della chiave di verifica dell'autenticità. Il tipo di attestazione predefinito accetta i certificati dell'Autorità di certificazione TPM. Alcuni TPM non includono i certificati della chiave di verifica dell'autenticità. Se si desidera considerare attendibili singoli host ESXi, il TPM deve includere un certificato della chiave di verifica dell'autenticità.

Nota: Archiviare i file dei certificati della chiave di verifica dell'autenticità esportati in un percorso sicuro, nel caso in cui sia necessario ripristinare la configurazione di vSphere Trust Authority.

Prerequisiti

Procedura

Assicurarsi di essere connessi a vCenter Server in qualità di amministratore Trust Authority del Cluster Trust Authority.
Ad esempio, è possibile immettere $global:defaultviservers per visualizzare tutti i server connessi.

(Facoltativo) Se necessario, è possibile eseguire i comandi seguenti per assicurarsi di essere connessi al vCenter Server del cluster di Trust Authority.

Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'

Per modificare il tipo di attestazione del Cluster Trust Authority:
1. Eseguire il cmdlet Get-TrustAuthorityCluster per mostrare i cluster gestiti da questo vCenter Server.
```
Get-TrustAuthorityCluster
```
  I cluster vengono visualizzati.
2. Assegnare le informazioni su Get-TrustAuthorityCluster a una variabile.
  Ad esempio, questo comando assegna il cluster denominato vTA Cluster alla variabile $vTA.
```
$vTA = Get-TrustAuthorityCluster 'vTA Cluster'
```
3. Assegnare le informazioni su Get-TrustAuthorityTpm2AttestationSettings a una variabile.
  Ad esempio, questo comando assegna le informazioni alla variabile $tpm2Settings.
```
$tpm2Settings = Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA
```
4. Eseguire il cmdlet Set-TrustAuthorityTpm2AttestationSettings, specificando RequireEndorsementKey o RequireCertificateValidation o entrambi.
  Ad esempio, questo comando specifica RequireEndorsementKey.
```
Set-TrustAuthorityTpm2AttestationSettings -Tpm2AttestationSettings $tpm2Settings -RequireEndorsementKey
```
  Il sistema risponde con un prompt di conferma simile al seguente.
```
Confirmation
Configure the Tpm2AttestationSettings 'TrustAuthorityTpm2AttestationSettings-domain-c8' with the following parameters:
 RequireCertificateValidation: False
 RequireEndorsementKey: True
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):
```
5. Al prompt di conferma, premere Invio (il valore predefinito è Y).
  L'output mostra lo stato True per l'impostazione specificata. Ad esempio, questo stato mostra True per Require Endorsement Key e False per Require Certificate Validation.
```
Name                                     RequireEndorsementKey          RequireCertificateValidation   Health
----                                     ---------------------          ----------------------------   ------
TrustAuthorityTpm2AttestationSettings... True                           False                          Ok
```
Per esportare il certificato della chiave di verifica dell'autenticità TPM:
1. Disconnettersi da vCenter Server del Cluster Trust Authority.
```
Disconnect-VIServer -server * -Confirm:$false
```
2. Eseguire il cmdlet Connect-VIServer per connettersi come utente root a uno degli host ESXi nel cluster attendibile.
```
Connect-VIServer -server host_ip_address -User root -Password 'password'
```
3. Eseguire il cmdlet Get-VMHost per confermare l'host ESXi.
```
Get-VMHost
```
  Vengono visualizzate le informazioni sull'host.
4. Assegnare Get-VMHost a una variabile.
  Ad esempio:
```
$vmhost = Get-VMHost
```
5. Eseguire il cmdlet Export-Tpm2EndorsementKey per esportare il certificato della chiave di verifica dell'autenticità dell'host ESXi.
  Ad esempio, questo comando esporta il certificato della chiave di verifica dell'autenticità nel file tpm2ek.json.
```
Export-Tpm2EndorsementKey -VMHost $vmhost -FilePath C:\vta\tpm2ek.json
```
  Il file viene creato.
Per importare il della chiave di verifica dell'autenticità TPM:
1. Disconnettersi dall'host ESXi nel cluster attendibile.
```
Disconnect-VIServer -server * -Confirm:$false
```
2. Connettersi al vCenter Server del Cluster Trust Authority utilizzando l'utente amministratore Trust Authority.
```
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
```
3. Eseguire il cmdlet Get-TrustAuthorityCluster.
```
Get-TrustAuthorityCluster
```
  Vengono visualizzati i cluster nel Cluster Trust Authority.
4. Assegnare le informazioni del "cluster" Get-TrustAuthorityCluster a una variabile.
  Ad esempio, questo comando assegna le informazioni per il cluster vTA Cluster alla variabile $vTA.
```
$vTA = Get-TrustAuthorityCluster ‘vTA Cluster’
```
5. Eseguire il cmdlet New-TrustAuthorityTpm2EndorsementKey.
  Ad esempio, questo comando utilizza il file tpm2ek.json precedentemente esportato nel passaggio 4.
```
New-TrustAuthorityTpm2EndorsementKey -TrustAuthorityCluster $vTA -FilePath C:\vta\tpm2ek.json
```
  Vengono visualizzate le informazioni sulla chiave di verifica dell'autenticità importate.

risultati

Il tipo di attestazione del Cluster Trust Authority è stato modificato affinché accetti i certificati della chiave di verifica dell'autenticità. Il certificato della chiave di verifica dell'autenticità viene esportato dal cluster attendibile e importato nel Cluster Trust Authority.

Esempio: Esportazione e importazione di un certificato della chiave di verifica dell'autenticità TPM

In questo esempio viene illustrato come utilizzare PowerCLI per modificare il tipo di attestazione predefinita del cluster Trust Authority per accettare certificati della chiave di verifica dell'autenticità, esportare il certificato della chiave di verifica dell'autenticità TPM dall'host ESXi nel cluster attendibile e importarlo nel Cluster Trust Authority. La tabella seguente include i componenti e i valori di esempio utilizzati.

Tabella 1. Esempio di configurazione di vSphere Trust Authority
Componente	Valore
vCenter Server per il cluster Trust Authority	192.168.210.22
Variabile `$vTA`	Get-TrustAuthorityCluster 'vTA Cluster'
Variabile `$tpm2Settings`	Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA
Variabile `$vmhost`	Get-VMHost
Host ESXi nel cluster attendibile	192.168.110.51
Amministratore di Trust Authority	[email protected]
Directory locale in cui includere il file di output	C:\vta

PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.210.22                 443   VSPHERE.LOCAL\TrustedAdmin

PS C:\Users\Administrator> Get-TrustAuthorityCluster

Name                 State                Id
----                 -----                --
vTA Cluster          Enabled              TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster 'vTA Cluster'

PS C:\Users\Administrator> $tpm2Settings = Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA

PS C:\Users\Administrator> Set-TrustAuthorityTpm2AttestationSettings -Tpm2AttestationSettings $tpm2Settings -RequireEndorsementKey

Confirmation
Configure the Tpm2AttestationSettings 'TrustAuthorityTpm2AttestationSettings-domain-c8' with the following parameters:
 RequireCertificateValidation: False
 RequireEndorsementKey: True
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): y

Name                                     RequireEndorsementKey          RequireCertificateValidation   Health
----                                     ---------------------          ----------------------------   ------
TrustAuthorityTpm2AttestationSettings... True                           False                          Ok

PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.51                 443   root

PS C:\Users\Administrator> Get-VMHost

Name                 ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz   MemoryUsageGB   MemoryTotalGB Version
----                 --------------- ---------- ------ ----------- -----------   -------------   ------------- -------
192.168.110.51       Connected       PoweredOn       4          55        9576           1.230           7.999   7.0.0

PS C:\Users\Administrator> $vmhost = Get-VMHost
PS C:\Users\Administrator> Export-Tpm2EndorsementKey -VMHost $vmhost -FilePath C:\vta\tpm2ek.json

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----        12/3/2019  10:16 PM           2391 tpm2ek.json

PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.210.22                 443   VSPHERE.LOCAL\TrustedAdmin

PS C:\Users\Administrator> Get-TrustAuthorityCluster

Name                 State                Id
----                 -----                --
vTA Cluster          Enabled              TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster ‘vTA Cluster’
PS C:\Users\Administrator> New-TrustAuthorityTpm2EndorsementKey -TrustAuthorityCluster $vTA -FilePath C:\vta\tpm2ek.json

TrustAuthorityClusterId                  Name                                     Health
-----------------------                  ----                                     ------
TrustAuthorityCluster-domain-c8          1a520e42-4db8-1cbb-6dd7-f493fd921ccb     Ok

Operazioni successive

Procedere con Importazione delle informazioni sugli Host attendibili nel Cluster Trust Authority.