
Microsoft 虚拟可信平台模块 (vTPM) 证书管理指南
微软最近发布了一份面向 IT 和系统管理员的深入指南,旨在指导他们如何管理虚拟可信平台模块 (vTPM) 证书。对于处理在 Hyper-V 第二代虚拟机 (VM) 上运行的客户操作系统(例如Windows 11和Windows Server 2025)的用户而言,本指南尤为重要。正确实施这些实践可确保在虚拟机跨主机迁移时保留关键的安全功能。
TPM 2.0 对于增强安全性的重要性
Windows 11 和 Windows Server 2025 有特定的系统要求,包括 TPM 2.0,旨在比 Windows 10 等前代版本提高安全标准。微软此前已经阐明了这些安全增强功能的功能,强调了它们在为用户创建更安全的环境中的作用。
vTPM 如何在虚拟机中发挥作用
vTPM 的核心在于促进虚拟环境中 BitLocker 加密和安全启动等基本安全功能。然而,微软强调了 vTPM 管理的一个关键方面:它将每个实例绑定到本地主机上生成的两个自签名证书。如果这些证书传输不充分,关键流程(例如启用 vTPM 的虚拟机的实时迁移和手动导出)可能会遇到严重问题,从而可能阻碍组织有效迁移受保护工作负载的能力。
了解所涉及的证书
对于每个启用 vTPM 的第二代虚拟机,Hyper-V 都会创建并存储两个自签名证书:加密证书和签名证书。这些证书位于“受防护的虚拟机本地证书”存储中,可通过Microsoft 管理控制台 (MMC) 中的“证书(本地计算机)” > “个人”部分访问。证书如下:
- 受防护的虚拟机加密证书 (UntrustedGuardian)(计算机名称)
- 受防护的虚拟机签名证书 (UntrustedGuardian)(计算机名称)
两种证书的默认有效期均为 10 年。
正确迁移的步骤
为了确保成功迁移启用 vTPM 的虚拟机,Microsoft 指示管理员将加密和签名证书(包括其私钥)导出到 PFX(个人信息交换)文件中。然后,应将这些文件导入目标主机上的等效存储中,以建立信任。
IT 专业人员资源
Microsoft 提供了有关如何在证书过期时导出、导入和更新这些证书的全面说明,以及PowerShell
方便执行的相关命令。如需了解更多信息,请访问 Microsoft 技术社区网站(此处)查看完整博客文章。
发表回复