摘要:
7月7日消息,微软今日发布了一份针对IT管理员和系统管理员的详细指南,内容是关于处理虚拟可信平台模块(vTPM)证书。该...
7月7日消息,微软今日发布了一份针对IT管理员和系统管理员的详细指南,内容是关于处理虚拟可信平台模块(vTPM)证书。该公司强调,正确理解和实施这些指南至关重要,因为运行在Hyper-V第二代虚拟机上的操作系统(如Windows11和WindowsServer2025)在跨主机迁移时能够保持完整的安全功能。微软一直强调,Windows11的系统要求(如TPM2.0)旨在为操作系统提供比Windows10更高的默认安全性。近期,微软发布了一篇解释性文章,详细阐述了其原理。据了解,vTPM能够在虚拟机中启用诸如BitLocker和安全启动等安全功能。然而,Hyper-V会将每个vTPM实例绑定到本地主机上的两个自签名证书。微软警告称,如果没有正确进行证书转移,vTPM启用的虚拟机在进行实时迁移或手动导出时可能会失败。这将是一个严重问题,因为这将导致企业无法迁移受保护的工作负载。微软指出,Hyper-V主机会为每个启用vTPM的第二代虚拟机自动生成两个自签名证书:一个加密证书和一个签名证书,并将它们存储在Microsoft管理控制台(MMC)的“证书(本地计算机)>个人>受保护虚拟机本地证书”存储中。这两个证书分别是:
受保护虚拟机加密证书(UntrustedGuardian)(计算机名)受保护虚拟机签名证书(UntrustedGuardian)(计算机名)
这两种证书的默认有效期均为10年。为了正确迁移,微软建议管理员必须将这两个证书及其私钥导出为PFX(个人信息交换)文件,并将它们导入到目标主机上的同一存储中,从而将其标记为可信。微软还详细列出了导出、导入和更新(证书到期时)的步骤,并提供了相应的PowerShell命令。完整的博客文章可在微软技术社区网站上查阅。
