ESXi 호스트에서 TPM EK(승인 키) 인증서를 내보내고 vSphere 신뢰 기관 클러스터로 가져올 수 있습니다. 신뢰할 수 있는 클러스터에서 개별 ESXi 호스트를 신뢰하려는 경우 이렇게 합니다.
TPM EK 인증서를 신뢰 기관 클러스터로 가져오려면, EK 인증서를 수락하도록 신뢰 기관 클러스터의 기본 증명 유형을 변경해야 합니다. 기본 증명 유형은 TPM CA(인증 기관) 인증서를 수락합니다. 일부 TPM에는 EK 인증서가 포함되어 있지 않습니다. 개별 ESXi 호스트를 신뢰하려는 경우 TPM에는 EK 인증서가 포함되어야 합니다.
참고: 내보낸 EK 인증서 파일은
vSphere 신뢰 기관 구성을 복원해야 하는 경우를 대비해 안전한 위치에 보관하십시오.
사전 요구 사항
프로시저
결과
신뢰 기관 클러스터의 증명 유형이 EK 인증서를 수락하도록 변경되었습니다. EK 인증서는 신뢰할 수 있는 클러스터에서 내보내고 신뢰 기관 클러스터로 가져옵니다.
예: TPM EK 인증서 내보내기 및 가져오기
이 예시에서는 PowerCLI를 사용하여, 신뢰 기관 클러스터의 기본 증명 유형을 EK 인증서를 수락하도록 변경하고, 신뢰할 수 있는 클러스터의 ESXi 호스트에서 TPM EK 인증서를 내보낸 다음, 신뢰 기관 클러스터로 가져오는 방법을 보여줍니다. 다음 표에는 사용되는 예제 구성 요소 및 값이 나와 있습니다.
구성 요소 | 값 |
---|---|
신뢰 기관 클러스터의 vCenter Server | 192.168.210.22 |
변수 $vTA |
Get-TrustAuthorityCluster 'vTA Cluster' |
변수 $tpm2Settings |
Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA |
변수 $vmhost |
Get-VMHost |
신뢰할 수 있는 클러스터의 ESXi 호스트 | 192.168.110.51 |
신뢰 기관 관리자 | [email protected] |
출력 파일을 포함할 로컬 디렉토리 | C:\vta |
PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!' Name Port User ---- ---- ---- 192.168.210.22 443 VSPHERE.LOCAL\TrustedAdmin PS C:\Users\Administrator> Get-TrustAuthorityCluster Name State Id ---- ----- -- vTA Cluster Enabled TrustAuthorityCluster-domain-c8 PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster 'vTA Cluster' PS C:\Users\Administrator> $tpm2Settings = Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA PS C:\Users\Administrator> Set-TrustAuthorityTpm2AttestationSettings -Tpm2AttestationSettings $tpm2Settings -RequireEndorsementKey Confirmation Configure the Tpm2AttestationSettings 'TrustAuthorityTpm2AttestationSettings-domain-c8' with the following parameters: RequireCertificateValidation: False RequireEndorsementKey: True [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): y Name RequireEndorsementKey RequireCertificateValidation Health ---- --------------------- ---------------------------- ------ TrustAuthorityTpm2AttestationSettings... True False Ok PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false PS C:\Users\Administrator> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!' Name Port User ---- ---- ---- 192.168.110.51 443 root PS C:\Users\Administrator> Get-VMHost Name ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz MemoryUsageGB MemoryTotalGB Version ---- --------------- ---------- ------ ----------- ----------- ------------- ------------- ------- 192.168.110.51 Connected PoweredOn 4 55 9576 1.230 7.999 7.0.0 PS C:\Users\Administrator> $vmhost = Get-VMHost PS C:\Users\Administrator> Export-Tpm2EndorsementKey -VMHost $vmhost -FilePath C:\vta\tpm2ek.json Mode LastWriteTime Length Name ---- ------------- ------ ---- -a---- 12/3/2019 10:16 PM 2391 tpm2ek.json PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!' Name Port User ---- ---- ---- 192.168.210.22 443 VSPHERE.LOCAL\TrustedAdmin PS C:\Users\Administrator> Get-TrustAuthorityCluster Name State Id ---- ----- -- vTA Cluster Enabled TrustAuthorityCluster-domain-c8 PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster ‘vTA Cluster’ PS C:\Users\Administrator> New-TrustAuthorityTpm2EndorsementKey -TrustAuthorityCluster $vTA -FilePath C:\vta\tpm2ek.json TrustAuthorityClusterId Name Health ----------------------- ---- ------ TrustAuthorityCluster-domain-c8 1a520e42-4db8-1cbb-6dd7-f493fd921ccb Ok
다음에 수행할 작업
신뢰 기관 클러스터로 신뢰할 수 있는 호스트 정보 가져오기으로 계속 진행합니다.