受保护的数据文件(PDK)还包含有关使用者信任的模板磁盘的信息。使用者以卷签名目录(VSC)文件的形式从可信模板磁盘获取磁盘签名。然后在部署新VM时验证这些签名。如果尝试与VM一起部署的模板磁盘时受保护的数据文件中的任何签名都不匹配(即:它已被修改或与不同的潜在恶意磁盘交换),则配置过程将失败。
在SCVMM服务器上使用SCVMM Powershell来获取VSC
执行
$disk = Get-SCVirtualHardDisk -Name "EncryptionWinSrv2012R2.vhdx"
$vsc = Get-SCVolumeSignatureCatalog -VirtualHardDisk $disk
$vsc.WriteToFile("C:\EncryptionWinSrv2012R2.vsc")
受保护的数据文件(PDK)中的最后一个组件与VM的所有者和监护域(人)有关。保护者用于指定受保护的VM的所有者和授权其运行的受保护的Hyper-V环境。要授权主机运行受保护的VM,就需要获取受保护的元数据,在这里是指需要从HGS中获取受保护的元数据
如果是从HGS01服务器获取受保护的元数据,可以在HGS01上执行:
Invoke-WebRequest 'http://hgs.hgs.local/KeyProtection/service/metadata/2014-07/metadata.xml' -OutFile c:\RelecloudGuardian.xml
如果是从SCVMM服务器上获取受保护的元数据,那么在SCVMM Powershell里执行
$relecloudmetadata = Get-SCGuardianConfiguration
$relecloudmetadata.InnerXml | Out-File c:\RelecloudGuardian.xml -Encoding UTF8
在这里我从SCVMM服务器上获取受保护的元数据文件。
