微软发布详细指南：迁移虚拟机时如何满足 Win11 TPM 要求

微软今日发布了一份针对 IT 管理员和系统管理员的详细指南，内容是关于处理虚拟可信平台模块（vTPM）证书。该公司强调，正确理解和实施这些指南至关重要，因为运行在 Hyper-V 第二代虚拟机上的操作系统（如 >Windows 11 和 Windows Server 2025）在跨主机迁移时能够保持完整的安全功能。

微软一直强调，Windows 11 的系统要求（如 TPM 2.0）旨在为操作系统提供比 >Windows 10 更高的默认安全性。近期，微软发布了一篇解释性文章，详细阐述了其原理。

vTPM 能够在虚拟机中启用诸如 BitLocker 和安全启动等安全功能。然而，Hyper-V 会将每个 vTPM 实例绑定到本地主机上的两个自签名证书。微软警告称，如果没有正确进行证书转移，vTPM 启用的虚拟机在进行实时迁移或手动导出时可能会失败。这将是一个严重问题，因为这将导致企业无法迁移受保护的工作负载。

微软指出，Hyper-V 主机会为每个启用 vTPM 的第二代虚拟机自动生成两个自签名证书：一个加密证书和一个签名证书，并将它们存储在 Microsoft 管理控制台（MMC）的“证书（本地计算机）> 个人 > 受保护虚拟机本地证书”存储中。这两个证书分别是：

• 受保护虚拟机加密证书（UntrustedGuardian）（计算机名）

• 受保护虚拟机签名证书（UntrustedGuardian）（计算机名）

这两种证书的默认有效期均为 10 年。

为了正确迁移，微软建议管理员必须将这两个证书及其私钥导出为 PFX（个人信息交换）文件，并将它们导入到目标主机上的同一存储中，从而将其标记为可信。

微软还详细列出了导出、导入和更新（证书到期时）的步骤，并提供了相应的 PowerShell 命令。完整的博客文章可在>微软技术社区网站上查阅。