微软发布了针对IT管理员和系统管理员的详细指南，重点介绍了如何处理虚拟可信平台模块（vTPM）证书。该指南旨在确保运行在Hyper-V第二代虚拟机上的操作系统（如Windows 11和Windows Server 2025）在跨主机迁移时保持完整的安全功能。文章强调了正确理解和实施这些指南的重要性，因为vTPM启用的虚拟机在迁移过程中如果证书处理不当，可能会导致迁移失败，影响企业工作负载的正常运行。微软提供了详细的步骤，包括证书的导出、导入和更新，并提供了相应的PowerShell命令。

🛡️ vTPM的重要性：vTPM能够在虚拟机中启用BitLocker和安全启动等安全功能，增强虚拟机的安全性。

🔑 证书的生成与存储：Hyper-V主机会为每个启用vTPM的第二代虚拟机自动生成两个自签名证书：一个加密证书和一个签名证书，存储在MMC的“证书（本地计算机）> 个人 > 受保护虚拟机本地证书”存储中。

⚠️ 迁移失败的原因：如果没有正确进行证书转移，vTPM启用的虚拟机在进行实时迁移或手动导出时可能会失败，导致企业无法迁移受保护的工作负载。

💡 正确的迁移方法：为了正确迁移，管理员必须将这两个证书及其私钥导出为PFX文件，并将它们导入到目标主机上的同一存储中，从而将其标记为可信。

⚙️ 微软提供的解决方案：微软详细列出了导出、导入和更新（证书到期时）的步骤，并提供了相应的PowerShell命令，方便管理员进行操作。

IT之家 7 月 7 日消息，微软今日发布了一份针对 IT 管理员和系统管理员的详细指南，内容是关于处理虚拟可信平台模块（vTPM）证书。该公司强调，正确理解和实施这些指南至关重要，因为运行在 Hyper-V 第二代虚拟机上的操作系统（如 Windows 11 和 Windows Server 2025）在跨主机迁移时能够保持完整的安全功能。

微软一直强调，Windows 11 的系统要求（如 TPM 2.0）旨在为操作系统提供比 Windows 10 更高的默认安全性。近期，微软发布了一篇解释性文章，详细阐述了其原理。

据IT之家了解，vTPM 能够在虚拟机中启用诸如 BitLocker 和安全启动等安全功能。然而，Hyper-V 会将每个 vTPM 实例绑定到本地主机上的两个自签名证书。微软警告称，如果没有正确进行证书转移，vTPM 启用的虚拟机在进行实时迁移或手动导出时可能会失败。这将是一个严重问题，因为这将导致企业无法迁移受保护的工作负载。

微软指出，Hyper-V 主机会为每个启用 vTPM 的第二代虚拟机自动生成两个自签名证书：一个加密证书和一个签名证书，并将它们存储在 Microsoft 管理控制台（MMC）的“证书（本地计算机）> 个人 > 受保护虚拟机本地证书”存储中。这两个证书分别是：

受保护虚拟机加密证书（UntrustedGuardian）（计算机名）

受保护虚拟机签名证书（UntrustedGuardian）（计算机名）

这两种证书的默认有效期均为 10 年。

为了正确迁移，微软建议管理员必须将这两个证书及其私钥导出为 PFX（个人信息交换）文件，并将它们导入到目标主机上的同一存储中，从而将其标记为可信。

微软还详细列出了导出、导入和更新（证书到期时）的步骤，并提供了相应的 PowerShell 命令。完整的博客文章可在微软技术社区网站上查阅。