ESXi 호스트에서 TPM EK(승인 키) 인증서를 내보내고 vSphere 신뢰 기관 클러스터로 가져올 수 있습니다. 신뢰할 수 있는 클러스터에서 개별 ESXi 호스트를 신뢰하려는 경우 이렇게 합니다.

TPM EK 인증서를 신뢰 기관 클러스터로 가져오려면, EK 인증서를 수락하도록 신뢰 기관 클러스터의 기본 증명 유형을 변경해야 합니다. 기본 증명 유형은 TPM CA(인증 기관) 인증서를 수락합니다. 일부 TPM에는 EK 인증서가 포함되어 있지 않습니다. 개별 ESXi 호스트를 신뢰하려는 경우 TPM에는 EK 인증서가 포함되어야 합니다.

참고: 내보낸 EK 인증서 파일은 vSphere 신뢰 기관 구성을 복원해야 하는 경우를 대비해 안전한 위치에 보관하십시오.

사전 요구 사항

프로시저

  1. 신뢰 기관 클러스터의 vCenter Server에 신뢰 기관 관리자로 연결되어 있는지 확인합니다.
    예를 들어 $global:defaultviservers를 입력하여 연결된 모든 서버를 표시할 수 있습니다.
  2. (선택 사항) 필요한 경우 다음 명령을 실행하여 신뢰 기관 클러스터의 vCenter Server에 연결되어 있는지 확인할 수 있습니다.
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
  3. 신뢰 기관 클러스터의 증명 유형을 변경하려면:
    1. Get-TrustAuthorityCluster cmdlet을 실행하여 vCenter Server로 관리되는 클러스터를 표시합니다.
      Get-TrustAuthorityCluster
      클러스터가 표시됩니다.
    2. 변수에 Get-TrustAuthorityCluster 정보를 할당합니다.
      예를 들어 다음 명령은 vTA Cluster라는 클러스터를 변수 $vTA에 할당합니다.
      $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
    3. 변수에 Get-TrustAuthorityTpm2AttestationSettings 정보를 할당합니다.
      예를 들어 다음 명령은 변수 $tpm2Settings에 정보를 할당합니다.
      $tpm2Settings = Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA
    4. RequireEndorsementKey 또는 RequireCertificateValidation 또는 둘 모두를 지정하여 Set-TrustAuthorityTpm2AttestationSettings cmdlet을 실행합니다.
      예를 들어, 이 명령은 RequireEndorsementKey를 지정합니다.
      Set-TrustAuthorityTpm2AttestationSettings -Tpm2AttestationSettings $tpm2Settings -RequireEndorsementKey
      시스템이 다음과 유사한 확인 메시지로 응답합니다.
      Confirmation
      Configure the Tpm2AttestationSettings 'TrustAuthorityTpm2AttestationSettings-domain-c8' with the following parameters:
       RequireCertificateValidation: False
       RequireEndorsementKey: True
      [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):
    5. 확인 메시지가 표시되면 Enter 키를 누릅니다. (기본값은 Y입니다.)
      지정된 설정에 대한 상태가 True로 출력에 표시됩니다. 예를 들어 이 상태는 Require Endorsement Key에 대해서는 True를 Require Certificate Validation에 대해서는 False를 표시합니다.
      Name                                     RequireEndorsementKey          RequireCertificateValidation   Health
      ----                                     ---------------------          ----------------------------   ------
      TrustAuthorityTpm2AttestationSettings... True                           False                          Ok
  4. TPM EK 인증서를 내보내려면 다음을 수행합니다.
    1. 신뢰 기관 클러스터의 vCenter Server와 연결을 끊습니다.
      Disconnect-VIServer -server * -Confirm:$false
      
    2. Connect-VIServer cmdlet를 실행하여 신뢰할 수 있는 클러스터의 ESXi 호스트 중 하나에 루트 사용자로 연결합니다.
      Connect-VIServer -server host_ip_address -User root -Password 'password'
    3. Get-VMHost cmdlet을 실행하여 ESXi 호스트를 확인합니다.
      Get-VMHost
      호스트 정보가 표시됩니다.
    4. Get-VMHost를 변수에 할당합니다.
      예:
      $vmhost = Get-VMHost
    5. Export-Tpm2EndorsementKey cmdlet을 실행하여 ESXi 호스트의 EK 인증서를 내보냅니다.
      예를 들어 다음 명령은 EK 인증서를 tpm2ek.json 파일로 내보냅니다.
      Export-Tpm2EndorsementKey -VMHost $vmhost -FilePath C:\vta\tpm2ek.json
      파일이 생성됩니다.
  5. TPM EK를 가져오려면 다음을 수행합니다.
    1. 신뢰할 수 있는 클러스터의 ESXi 호스트와 연결을 끊습니다.
      Disconnect-VIServer -server * -Confirm:$false
      
    2. 신뢰 기관 관리자 사용자를 사용하여 신뢰할 수 있는 클러스터의 vCenter Server에 연결합니다.
      Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
    3. Get-TrustAuthorityCluster cmdlet을 실행합니다.
      Get-TrustAuthorityCluster
      신뢰 기관 클러스터의 클러스터가 표시됩니다.
    4. Get-TrustAuthorityCluster 'cluster' 정보를 변수에 할당합니다.
      예를 들어 다음 명령은 클러스터 vTA Cluster에 대한 정보를 변수 $vTA에 할당합니다.
      $vTA = Get-TrustAuthorityCluster ‘vTA Cluster’
    5. New-TrustAuthorityTpm2EndorsementKey cmdlet을 실행합니다.
      예를 들어 다음 명령은 이전에 4단계에서 내보낸 tpm2ek.json 파일을 사용합니다.
      New-TrustAuthorityTpm2EndorsementKey -TrustAuthorityCluster $vTA -FilePath C:\vta\tpm2ek.json
      가져온 승인 키 정보가 표시됩니다.

결과

신뢰 기관 클러스터의 증명 유형이 EK 인증서를 수락하도록 변경되었습니다. EK 인증서는 신뢰할 수 있는 클러스터에서 내보내고 신뢰 기관 클러스터로 가져옵니다.

예: TPM EK 인증서 내보내기 및 가져오기

이 예시에서는 PowerCLI를 사용하여, 신뢰 기관 클러스터의 기본 증명 유형을 EK 인증서를 수락하도록 변경하고, 신뢰할 수 있는 클러스터의 ESXi 호스트에서 TPM EK 인증서를 내보낸 다음, 신뢰 기관 클러스터로 가져오는 방법을 보여줍니다. 다음 표에는 사용되는 예제 구성 요소 및 값이 나와 있습니다.

표 1. vSphere 신뢰 기관 설정 예
구성 요소
신뢰 기관 클러스터의 vCenter Server 192.168.210.22
변수 $vTA Get-TrustAuthorityCluster 'vTA Cluster'
변수 $tpm2Settings Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA
변수 $vmhost Get-VMHost
신뢰할 수 있는 클러스터의 ESXi 호스트 192.168.110.51
신뢰 기관 관리자 [email protected]
출력 파일을 포함할 로컬 디렉토리 C:\vta
PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.210.22                 443   VSPHERE.LOCAL\TrustedAdmin

PS C:\Users\Administrator> Get-TrustAuthorityCluster

Name                 State                Id
----                 -----                --
vTA Cluster          Enabled              TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster 'vTA Cluster'

PS C:\Users\Administrator> $tpm2Settings = Get-TrustAuthorityTpm2AttestationSettings -TrustAuthorityCluster $vTA

PS C:\Users\Administrator> Set-TrustAuthorityTpm2AttestationSettings -Tpm2AttestationSettings $tpm2Settings -RequireEndorsementKey

Confirmation
Configure the Tpm2AttestationSettings 'TrustAuthorityTpm2AttestationSettings-domain-c8' with the following parameters:
 RequireCertificateValidation: False
 RequireEndorsementKey: True
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): y

Name                                     RequireEndorsementKey          RequireCertificateValidation   Health
----                                     ---------------------          ----------------------------   ------
TrustAuthorityTpm2AttestationSettings... True                           False                          Ok

PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.51                 443   root

PS C:\Users\Administrator> Get-VMHost

Name                 ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz   MemoryUsageGB   MemoryTotalGB Version
----                 --------------- ---------- ------ ----------- -----------   -------------   ------------- -------
192.168.110.51       Connected       PoweredOn       4          55        9576           1.230           7.999   7.0.0

PS C:\Users\Administrator> $vmhost = Get-VMHost
PS C:\Users\Administrator> Export-Tpm2EndorsementKey -VMHost $vmhost -FilePath C:\vta\tpm2ek.json

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----        12/3/2019  10:16 PM           2391 tpm2ek.json

PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.210.22                 443   VSPHERE.LOCAL\TrustedAdmin

PS C:\Users\Administrator> Get-TrustAuthorityCluster

Name                 State                Id
----                 -----                --
vTA Cluster          Enabled              TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster ‘vTA Cluster’
PS C:\Users\Administrator> New-TrustAuthorityTpm2EndorsementKey -TrustAuthorityCluster $vTA -FilePath C:\vta\tpm2ek.json

TrustAuthorityClusterId                  Name                                     Health
-----------------------                  ----                                     ------
TrustAuthorityCluster-domain-c8          1a520e42-4db8-1cbb-6dd7-f493fd921ccb     Ok

다음에 수행할 작업

신뢰 기관 클러스터로 신뢰할 수 있는 호스트 정보 가져오기으로 계속 진행합니다.