Arbeta med HP Client Management Script Library (CMSL). HP ZBook 15 G6 Mobile Workstation, ZBook Studio G5 Mobile Workstation, ZBook 17 G5 Mobile Workstation, EliteDesk 800 G4 Tower PC, ZBook 15 G5 Mobile Workstation, ZBook 14u G5 Mobile Workstation, ZBook Studio x360 G5 Convertible Workstation IDS Base Model, EliteDesk 800 G4 Base Model Tower PC, EliteDesk 800 G5 Small Form Factor PC, EliteBook 1050 G1 Notebook PC

4 Arbeta med HP Client Management Script

Library (CMSL)

I HP Client Management Script Library kan du hantera inställningar i HP Sure Recover med PowerShell.

Följande exempelskript visar hur du etablerar, fastställer status, ändrar konfiguration och avetablerar HP

Sure Recover.

OBS!

Flera av kommandona överskrider radlängden i den här handboken men måste anges som en enda rad.

$ErrorActionPreference = "Stop"

$path = 'C:\test_keys'

$ekpw = ""

$skpw = ""

Get-HPSecurePlatformState try {

Write-host 'Provisioning Endorsement Key'

$p = New-HPSecurePlatformEndorsementKeyProvisioningPayload `

-EndorsementKeyPassword $ekpw `

-EndorsementKeyFile "$path\kek.pfx"

$p | Set-HPSecurePLatformPayload

Start-Sleep -Seconds 3

Write-host 'Provisioning signing key'

$p = New-HPSecurePlatformSigningKeyProvisioningPayload `

-EndorsementKeyPassword $ekpw `

-EndorsementKeyFile "$path\kek.pfx" `

-SigningKeyFile "$path\sk.pfx"

$p | Set-HPSecurePLatformPayload

12 Kapitel 4 Arbeta med HP Client Management Script Library (CMSL)

$p = New-HPSureRecoverImageConfigurationPayload `

-SigningKeyPassword $skpw `

-SigningKeyFile "$path\sk.pfx" `

-Image OS `

-ImageKeyFile "$path\os.pfx" `

-username test -password test `

-url "http://www.hp.com/custom/image.mft"

$p | Set-HPSecurePLatformPayload

$p = New-HPSureRecoverImageConfigurationPayload `

-SigningKeyPassword $skpw `

-SigningKeyFile "$path\sk.pfx" `

-Image agent `

-ImageKeyFile "$path\re.pfx" `

-username test -password test `

-url "http://www.hp.com/pub/pcbios/CPR"

$p | Set-HPSecurePLatformPayload

$p = New-HPSureRecoverSchedulePayload `

-SigningKeyPassword $skpw `

-SigningKeyFile "$path\sk.pfx" `

-DayOfWeek Sunday,EveryWeek -Hour 13 -Minute 27 -WindowSize 30

$p | Set-HPSecurePlatformPayload

$p = New-HPSureRecoverConfigurationPayload `

-SigningKeyPassword $skpw `

-SigningKeyFile "$path\sk.pfx" `

-OSImageFlags NetworkBasedRecovery `

-AgentFlags DRDVD

$p | Set-HPSecurePlatformPayload

Get-HPSureRecoverState -all

Get-HPSecurePlatformState

} finally {

13

Write-Host 'Deprovisioning Sure Recover'

Start-Sleep -Seconds 3

$p = New-HPSureRecoverDeprovisionPayload `

-SigningKeyPassword $skpw `

-SigningKeyFile "$path\sk.pfx"

$p | Set-HPSecurePlatformPayload

Start-Sleep -Seconds 3

Write-host 'Deprovisioning P21'

$p = New-HPSecurePlatformDeprovisioningPayload `

-verbose `

-EndorsementKeyPassword $pw `

-EndorsementKeyFile "$Path\kek.pfx"

$p | Set-HPSecurePlatformPayload

Write-Host 'Final secure platform state:'

Get-HPSecurePlatformState

}

Generering av exempelnyckel med hjälp av OpenSSL

Förvara de privata nycklarna på en säker plats. De offentliga nycklarna används för validering och måste tillhandahållas under etableringen. Dessa tangenter måste vara 2 048 bitar långa och använda en exponent för 0x10001. Byt ut ämnet i exemplen med information om din organisation.

Ställ in följande miljövariabel innan du fortsätter: ange OPENSSL_CONF=<path>\openssl.cnf

# Skapa ett självsignerat rotcertifikat för testning openssl req -sha256 -nodes -x509 -newkey rsa:2048 -keyout ca.key -out ca.crt -subj

"/C=US/ST=State/L=City/O=Company/OU=Org/CN=www.example.com“

# Skapa ett nyckelcertifikat för påskrift openssl req -sha256 -nodes -newkey rsa:2048 -keyout kek.key -out kek.csr subj

"/C=US/ST=State/L=City/O=Company/OU=Org/CN=www.example.com“

14 Kapitel 4 Arbeta med HP Client Management Script Library (CMSL)

openssl x509 -req -sha256 -in kek.csr -CA ca.crt -CAkey ca.key -

CAcreateserial -out kek.crt

openssl pkcs12 -inkey kek.key -in kek.crt -export -out kek.pfx -CSP

"Microsoft Enhanced RSA and AES Cryptographic Provider" -passout pass:

# Skapa en signeringsnyckel för kommando openssl req -sha256 -nodes -newkey rsa:2048 -keyout sk.key -out sk.csr subj "/C=US/ST=State/L=City/O=Company/OU=Org/CN=www.example.com“ openssl x509 -req -sha256 -in sk.csr -CA ca.crt -CAkey ca.key -

CAcreateserial -out sk.crt

openssl pkcs12 -inkey sk.key -in sk.crt -export -out sk.pfx -CSP

"Microsoft Enhanced RSA and AES Cryptographic Provider" -passout pass: openssl pkcs12 -in sk.pfx -clcerts -nokeys -out sk_public.pem -passin pass:

# Skapa en signeringsnyckel för avbildning openssl req -sha256 -nodes -newkey rsa:2048 -keyout os.key -out os.csr subj "/C=US/ST=State/L=City/O=Company/OU=Org/CN=www.example.com“ openssl x509 -req -sha256 -in os.csr -CA ca.crt -CAkey ca.key -

CAcreateserial -out os.crt

openssl pkcs12 -inkey os.key -in os.crt -export -out os.pfx -CSP

"Microsoft Enhanced RSA and AES Cryptographic Provider" -passout pass:

Du kan signera avbildningsmanifestet med det här kommandot: openssl dgst -sha256 –sign os.key -out image.sig image.mft

# Skapa en signeringsnyckel för agent openssl req -sha256 -nodes -newkey rsa:2048 -keyout re.key -out re.csr subj "/C=US/ST=State/L=City/O=Company/OU=Org/CN=www.example.com“ openssl x509 -req -sha256 -in re.csr -CA ca.crt -CAkey ca.key -

CAcreateserial -out re.crt

openssl pkcs12 -inkey re.key -in re.crt -export -out re.pfx -CSP

"Microsoft Enhanced RSA and AES Cryptographic Provider" -passout pass:

Du kan signera agentmanifestet med det här kommandot: openssl dgst -sha256 –sign re.key -out agent.sig agent.mft

OpenSSL genererar signaturer i big endian-format, vilket inte är kompatibelt med vissa BIOS-versioner. Det innebär att agentens byte-ordning för signaturfil kan behöva omvändas innan den distribueras. BIOSversioner som stöder byte-ordning för big-endian har även stöd för byte-ordning för little-endian.

Generering av exempelnyckel med hjälp av OpenSSL 15