如何在 Windows 11 上将设备运行状况证明设置为服务器

设备健康证明 (DHA) 是一项强大的安全功能，可在启动期间验证 Windows 设备的完整性。通过将 DHA 作为服务器运行，组织可以有效地管理和监控整个网络中的设备运行状况，确保遵守安全策略。本指南将引导您完成在 Windows 11 上将设备运行状况证明设置为服务器的过程。

设备健康证明服务器的先决条件

在开始之前，请确保您的系统满足以下要求：

• 具有桌面体验安装选项的 Windows Server 2016 或更高版本。
• 运行带有 TPM 版本 1.2 或 2.0 的 Windows 10 或 Windows 11 的客户端设备。
• 用于安全通信的 SSL 证书。
• 签名和加密证书。

确认这些先决条件后，您就可以开始安装过程了。

安装设备健康证明角色

步骤一：单击“开始”菜单并选择“服务器管理器”，打开服务器管理器。

步骤2：单击右上角的“管理”，然后选择“添加角色和功能”。

步骤3：在“添加角色和功能向导”中，单击“下一步”，直到到达“选择服务器角色”页面。

第4步：向下滚动并选中“设备健康证明”旁边的框。当提示添加设备健康证明所需的功能时，单击“添加功能”。

第5步：继续单击“下一步”，直到到达“确认安装选择”页面。检查您的选择并单击“安装”。

第6步：安装完成后，单击“关闭”。

配置 SSL 证书

正确的 SSL 证书配置对于 DHA 服务器和客户端设备之间的安全通信至关重要。

步骤一：按 Windows 键 + R 打开“运行”对话框，键入“mmc”，然后按 Enter 打开 Microsoft 管理控制台。

步骤2：转到文件 > 添加/删除管理单元，从列表中选择“证书”，然后单击“添加”。

步骤3：选择“计算机帐户”，单击“下一步”，然后单击“完成”，最后单击“确定”。

第4步：在控制台树中，展开“证书（本地计算机）”>“个人”>“证书”。

第5步：右键单击要用于 DHA 的 SSL 证书，选择“所有任务”>“管理私钥”。

第6步：添加“IIS_IUSRS”组并授予其读取权限。

请记住记下 SSL 证书的指纹，因为您在后续步骤中将需要它。

安装 TPM 根证书

为了确保正确验证客户端 TPM，您需要安装 TPM 根证书。

步骤一：打开提升的命令提示符。

步骤2：运行以下命令：

mkdir C:TrustedTPM
cd C:TrustedTPM
certutil -urlcache -split -f https://go.microsoft.com/fwlink/?linkid=2097925 TrustedTpm.cab
expand -F:* TrustedTpm.cab .
setup.cmd

这将下载、提取并安装必要的 TPM 根证书。

配置设备健康度认证服务

现在是时候使用 PowerShell 配置 DHA 服务了。

步骤一：以管理员身份打开 PowerShell。

步骤2：运行以下命令，将占位符指纹替换为实际的证书指纹：

Install-DeviceHealthAttestation -EncryptionCertificateThumbprint "YourEncryptionCertThumbprint" -SigningCertificateThumbprint "YourSigningCertThumbprint" -SslCertificateStoreName "My" -SslCertificateThumbprint "YourSSLCertThumbprint" -SupportedAuthenticationSchema "AikCertificate"

步骤3：出现提示时，选择“是”或“全部是”以确认配置更改。

设置证书链策略

要完成 DHA 设置，您需要配置证书链策略。

步骤一：在同一 PowerShell 窗口中，运行以下命令：

$policy = Get-DHASCertificateChainPolicy
$policy.RevocationMode = "NoCheck"
Set-DHASCertificateChainPolicy -CertificateChainPolicy $policy

这会禁用吊销检查，这在某些环境中可能很有用。但是，在生产环境中应用此设置之前，请考虑安全影响。

验证DHA服务配置

完成设置后，验证 DHA 服务是否正常运行非常重要。

步骤一：检查有效的签名证书：

Get-DHASActiveSigningCertificate

这应该显示您的签名证书的详细信息。

步骤2：验证活动加密证书：

Get-DHASActiveEncryptionCertificate

您应该会看到加密证书的详细信息。

步骤3：通过在 Web 浏览器中导航到以下 URL 来测试 DHA 服务：

https://<your-server-name>/DeviceHeathAttestation/ValidateHealthCertificate/v1

如果服务运行正常，您应该会看到“方法不允许”消息。这表明该服务正在运行并准备好处理证明请求。

常见问题故障排除

如果您在设置或操作 DHA 服务时遇到问题，以下是一些常见问题及其解决方案：

参见：如何在 Windows 上使用 Microsoft 更新健康工具

问题：“设备运行状况证明不可用”

此错误通常与 TPM 问题有关。尝试清除 TPM：

步骤一：按 Windows 键 + R，输入“tpm.msc”，然后按 Enter。

步骤2：在 TPM 管理窗口中，转到“操作”窗格并选择“清除 TPM”。

步骤3：重新启动计算机以完成 TPM 重置。

问题：“此设备不支持设备健康证明”

此消息表明您的设备不满足 DHA 的必要要求。仔细检查您的系统是否满足本指南开头列出的所有先决条件，特别是 TPM 版本和 Windows 版本要求。

通过执行这些步骤，您已成功将设备运行状况证明设置为 Windows 11 上的服务器。这一强大的功能将帮助您在整个组织中维护更安全、更合规的设备生态系统。请记住定期更新和维护您的 DHA 服务器以确保最佳性能和安全性。