微軟發佈詳細指南：遷移虛擬機時如何滿足 Win11 TPM 要求

IT之家 7 月 7 日消息，微軟今日發佈了一份針對 IT 管理員和系統管理員的詳細指南，內容是關於處理虛擬可信平臺模塊（vTPM）證書。該公司強調，正確理解和實施這些指南至關重要，因爲運行在 Hyper-V 第二代虛擬機上的操作系統（如 Windows 11 和 Windows Server 2025）在跨主機遷移時能夠保持完整的安全功能。

微軟一直強調，Windows 11 的系統要求（如 TPM 2.0）旨在爲操作系統提供比 Windows 10 更高的默認安全性。近期，微軟發佈了一篇解釋性文章，詳細闡述了其原理。據IT之家瞭解，vTPM 能夠在虛擬機中啓用諸如 BitLocker 和安全啓動等安全功能。然而，Hyper-V 會將每個 vTPM 實例綁定到本地主機上的兩個自簽名證書。微軟警告稱，如果沒有正確進行證書轉移，vTPM 啓用的虛擬機在進行實時遷移或手動導出時可能會失敗。這將是一個嚴重問題，因爲這將導致企業無法遷移受保護的工作負載。微軟指出，Hyper-V 主機會爲每個啓用 vTPM 的第二代虛擬機自動生成兩個自簽名證書：一個加密證書和一個簽名證書，並將它們存儲在 Microsoft 管理控制檯（MMC）的“證書（本地計算機）> 個人 > 受保護虛擬機本地證書”存儲中。這兩個證書分別是：

這兩種證書的默認有效期均爲 10 年。

爲了正確遷移，微軟建議管理員必須將這兩個證書及其私鑰導出爲 PFX（個人信息交換）文件，並將它們導入到目標主機上的同一存儲中，從而將其標記爲可信。

微軟還詳細列出了導出、導入和更新（證書到期時）的步驟，並提供了相應的 PowerShell 命令。完整的博客文章可在微軟技術社區網站上查閱。