微软详解虚拟TPM迁移指南，保障Win11虚拟机安全转移​

Meise

微软今天给广大IT管理员和系统管理员送了份实用手册，专门讲清楚怎么处理虚拟可信平台模块（vTPM）证书这个事儿。重点很明确：只有正确理解和操作这玩意儿，才能在跨主机迁移第二代Hyper-V虚拟机时，让里面的Windows 11或者Windows Server 2025这种客户操作系统，把全套安全特性稳稳当当地带过去。

微软的立场一直没变，早说了Windows 11强制要求TPM 2.0这类硬件门槛，就是为了让系统默认比Windows 10安全得多。他们最近还专门发文详细阐述过这个道理。

这vTPM到底起啥作用？简单说，它是虚拟机里启用BitLocker磁盘加密、安全启动（Secure Boot）这类安全功能的基础。但问题就出在部署方式上：Hyper-V会让每个配置了vTPM的第二代虚拟机（Gen 2 VM），跟当前物理主机上的两个自签名证书牢牢绑定在一块。微软特别提醒，如果没把这两个证书正确转移走，那些启用了vTPM的虚拟机，不管是做在线实时迁移（live migration）还是手工导出备份，操作都可能失败！这对企业影响可不小——带安全防护的重要工作负载根本没法挪窝。

具体绑的是啥证书呢？微软白纸黑字写得清楚：Hyper-V主机每部署一个启用了vTPM的第二代虚拟机，都会自动生成俩自签名证书——一个叫加密证书，一个叫签名证书。这俩证书都被保存在主机操作系统的指定位置：打开微软管理控制台（MMC），找到“证书（本地计算机）”节点下的“个人”目录，里头有个叫“Shielded VM本地证书”的专用存储区。它们名字也好认：

​​受防护的 VM 加密证书 (UntrustedGuardian)(计算机名)​​
​​受防护的 VM 签名证书 (UntrustedGuardian)(计算机名)​

这俩证书默认挺长寿，一签就是10年有效期。

微软强调，想顺利迁移没差错，管理员必须做一件事：把原主机上对应虚拟机的加密证书和签名证书，连带各自的私钥，打包导出成PFX格式（个人信息交换文件），再导入到目标主机的同一个证书存储路径下。这么一倒腾，证书在新的主机上才算被“信任”，绑定了vTPM的虚拟机才能安全无虞地跑起来。

考虑到实际操作，微软把整套流程掰得特别细：怎么导出证书、怎么导入到新主机、万一证书到期了怎么更新（续期或换新），一步不落全交代清楚了。贴心的是，针对每一步操作，微软还同步提供了对应的PowerShell脚本命令，方便管理员批量处理或者写自动化脚本。

想翻这份保姆级操作手册的IT同仁，可以直接去微软技术社区官网的博客专栏查收完整内容。网址谷歌上有，这里就不重复贴了，避免出错。这份指南对那些搞虚拟机迁移、尤其是要保住Win11安全特性的企业技术团队，绝对算得上及时雨了。