运行受保护的数据文件向导创建屏蔽数据(PDK)文件。在这里需要将添加RDP证书,无人值守文件,卷签名目录,所有者监护域(人)以及下载的监护域(人)元数据。
将之前申请好的rdpCert.pfx文件拷贝到SCVMM2016服务器C盘根目录下
在SCVMM2016服务器上,打开防护数据文件向导
用于受防护的模板的防护数据:用于从受保护的模板创建新的受保护的VM,可以是加密的也可以是既加密又防护的。
用于现有VM和不受防护的模板的防护数据:允许您转换现有VM或从非受保护的模板创建受保护的VM时使用的受保护的数据文件。
浏览选择PDK存放位置以及定义该文件的名字ShieldEncryptionWinSrv2012R2.pdk
受保护:Hyper-V管理员无法修改该受保护的虚拟机的任何配置,比如CPU核数,内存大小,磁盘等等
支持加密:意思是磁盘是Bitlocker加密的,但该虚拟机的配置Hyper-V管理员是可以修改定义的,比如内存大小等等。
能力
第2代加密
第2代屏蔽
安全启动
是,必需但可配置
是,必需和强制执行
虚拟TPM
是,必需但可配置
是,必需和强制执行
加密的VM状态和实时迁移流量
是,必需但可配置
是,必需和强制执行
集成组件
可由Fabric管理员配置
数据交换,PowerShell直接,已禁用,无法启用
虚拟机连接(控制台/ PowerShell直接/设备)
开,不能禁用
已禁用(无法启用)
串口
支持的
已禁用(无法启用)
调试器附加
支持的
已禁用(无法启用)
实时迁移,检查点,副本等
支持的
支持的
首先创建用于新虚拟机创建时就创建成为受保护的PDK文件,并且是加密且受保护的
点击管理本地监护人
先导入监护人元数据文件C:\RelecloudGuardian.xml,命名友好名称为hgs(用来校验的监护域(人))
再创建一个虚拟机所有者VM Owner,点击新建
创建一个虚拟机所有者
创建
关闭
点击确定
选择所有者VM Owner,保护者选择HGS(一定要点一下HGS,否则就是没有保护者(监护域(人)))
在对话框中选择VSC时,它将显示有关该磁盘的名称,版本以及用于对其进行签名的证书的信息。对要授权的每个模板磁盘重复此过程,这步的意义在于对指定的磁盘进行签名加密。
下一步
选择无人值守应答文件以及点击添加,选择rdpCert.pfx证书
生成
关闭
可以看到VM Owner的签名和加密自签名证书在这里
用于新虚拟机创建时就创建成为受保护的PDK文件,并且是加密且受保护的数据文件PDK就搞定了
接着再按照同样的方法创建用于新虚拟机创建时就创建成为受保护的PDK文件,只是加密保护的数据文件:EncryptionWinSrv2012R2.pdk
选择所有者是VM Owner,监护域(人)是HGS
选择和之前一样的VSC文件
选择应答文件和rdpCert.pfx文件
生成
关闭
这个PDK文件准备妥当
到这里就做好受保护的虚拟机数据文件了。
