仮想トラステッド プラットフォーム モジュール (vTPM) 証明書の管理に関する Microsoft のガイド
Microsoftは最近、IT管理者およびシステム管理者向けに、仮想トラステッド・プラットフォーム・モジュール(vTPM)証明書の管理に関する詳細なガイダンスを公開しました。このガイダンスは、 Hyper-V第2世代仮想マシン(VM)上で動作するWindows 11やWindows Server 2025などのゲストOSを扱う管理者にとって特に重要です。これらのプラクティスを正しく実装することで、VMを異なるホスト間で移行する際にも重要なセキュリティ機能を確実に維持できます。
セキュリティ強化におけるTPM 2.0の重要性
Windows 11 と Windows Server 2025 には、TPM 2.0 を含む特定のシステム要件があり、Windows 10 などの前身と比較してセキュリティ標準の向上を目指しています。Microsoft は以前、これらのセキュリティ強化がどのように機能するかを明確にし、ユーザーにとってより安全な環境を構築する役割を強調していました。
仮想マシン内でのvTPMの機能
vTPM は、仮想環境における BitLocker 暗号化やセキュアブートといった重要なセキュリティ機能を提供します。しかし、Microsoft は vTPM 管理の重要な側面として、各インスタンスをローカルホストで生成された 2 つの自己署名証明書にバインドすることを強調しています。これらの証明書が適切に転送されない場合、vTPM 対応 VM のライブマイグレーションや手動エクスポートといった重要なプロセスで重大な問題が発生し、保護されたワークロードを効率的に移行できなくなる可能性があります。
関連する証明書を理解する
vTPM 対応の第 2 世代 VM ごとに、Hyper-V は 2 つの自己署名証明書(暗号化証明書と署名証明書)を作成し、保存します。これらの証明書は、「シールドされた VM のローカル証明書」ストアに保存され、 Microsoft 管理コンソール (MMC) の[証明書 (ローカル コンピューター)] > [個人]セクションからアクセスできます。証明書の種類は次のとおりです。
- シールドされた VM 暗号化証明書 (UntrustedGuardian)(ComputerName)
- シールドされた VM 署名証明書 (UntrustedGuardian)(ComputerName)
どちらの証明書も、デフォルトの有効期間は 10 年です。
適切な移行の手順
vTPM対応VMの移行を成功させるため、Microsoftは管理者に対し、暗号化証明書と署名証明書(秘密鍵を含む)の両方をPFX(Personal Information Exchange)ファイルにエクスポートするよう指示しています。その後、これらの証明書をターゲットホスト上の同等のストアにインポートし、信頼関係を確立する必要があります。
ITプロフェッショナル向けリソース
Microsoftは、これらの証明書のエクスポート、インポート、および有効期限切れ時の更新に関する包括的な手順と、PowerShell実行を容易にするための関連コマンドを提供しています。詳細については、MicrosoftのTech Communityウェブサイトのブログ記事全文(こちら)をご覧ください。
コメントを残す