Microsoft 虛擬可信任平台模組 (vTPM) 憑證管理指南
微軟最近發布了一份 IT 和系統管理員的深入指南,旨在指導他們如何管理虛擬可信任平台模組 (vTPM) 憑證。對於處理在 Hyper-V 第二代虛擬機器 (VM) 上執行的客戶作業系統(例如Windows 11和Windows Server 2025)的使用者而言,本指南尤其重要。正確實施這些實務可確保在虛擬機器跨主機遷移時保留關鍵的安全功能。
TPM 2.0 對於增強安全性的重要性
Windows 11 和 Windows Server 2025 有特定的系統需求,包括 TPM 2.0,旨在比 Windows 10 等前代版本提高安全標準。微軟先前已經闡明了這些安全增強功能的功能,並強調了它們在為用戶創建更安全的環境中的作用。
vTPM 如何在虛擬機器中發揮作用
vTPM 的核心在於促進虛擬環境中 BitLocker 加密和安全啟動等基本安全功能。然而,微軟強調了 vTPM 管理的一個關鍵方面:它將每個實例綁定到本地主機上產生的兩個自簽名憑證。如果這些憑證傳輸不充分,關鍵流程(例如啟用 vTPM 的虛擬機器的即時遷移和手動匯出)可能會遇到嚴重問題,這可能會阻礙組織有效遷移受保護工作負載的能力。
了解所涉及的證書
對於每個啟用 vTPM 的第二代虛擬機,Hyper-V 都會建立並儲存兩個自簽名憑證:加密憑證和簽章憑證。這些憑證位於「受防護的虛擬機器本機憑證」儲存中,可透過Microsoft 管理主控台 (MMC) 中的「憑證(本機電腦)」 > 「個人」部分存取。證書如下:
- 受防護的虛擬機器加密憑證 (UntrustedGuardian)(電腦名稱)
- 受防護的虛擬機器簽名證書 (UntrustedGuardian)(電腦名稱)
兩種證書的預設有效期限均為 10 年。
正確遷移的步驟
為了確保成功移轉啟用 vTPM 的虛擬機,Microsoft 指示管理員將加密和簽署憑證(包括其私鑰)匯出到 PFX(個人資訊交換)檔案中。然後,應將這些檔案匯入目標主機上的等效儲存中,以建立信任。
IT 專業人員資源
Microsoft 提供了有關如何在憑證過期時匯出、匯入和更新這些憑證的全面說明,以及PowerShell方便執行的相關命令。如需了解更多信息,請訪問 Microsoft 技術社區網站(此處)查看完整部落格文章。
發佈留言