虛擬信賴平台模組概觀

vTPM 會在軟體中執行密碼編譯副處理器功能。新增至虛擬機器時，vTPM 可讓客體作業系統建立和儲存私有金鑰。這些金鑰不會向客體作業系統本身公開。因此，會減少虛擬機器攻擊面。通常，破壞客體作業系統會破壞其密碼，但啟用 vTPM 可大幅降低此風險。這些金鑰僅供客體作業系統用於加密或簽署。透過附加的 vTPM，第三方可遠端證明 (驗證) 韌體和客體作業系統的身分識別。

您可以將 vTPM 新增至新虛擬機器或現有的虛擬機器。vTPM 視虛擬機器加密來保護重要的 TPM 資料。當您設定 vTPM 時，虛擬機器加密會自動加密虛擬機器檔案，而不是磁碟。您可以選擇為虛擬機器及其磁碟明確新增加密。

您也可以備份已啟用 vTPM 的虛擬機器。備份必須包含所有虛擬機器資料，包括*.nvram 檔案。如果您的備份未包含*.nvram 檔案，則無法使用 vTPM 還原虛擬機器。此外，由於啟用 vTPM 之虛擬機器的虛擬機器主檔案已加密，請確保加密金鑰在還原時可供使用。

vTPM 不需要ESXi主機上存在實體信賴平台模組 (TPM) 2.0 晶片。但是，如果您想要執行主機證明，則需要 TPM 2.0 實體晶片等外部實體。如需更多詳細資料，請參閱 vSphere 安全性說明文件。

vTPM 的需求

若要使用 vTPM，您的 vSphere 環境必須符合下列需求：

• 虛擬機器需求：
  • EFI 韌體
  • 硬體版本 14
• 元件需求：
  • vCenter Server6.7。
  • 虛擬機器加密 (加密虛擬機器主檔案)。
  • 針對vCenter Server設定金鑰管理伺服器 (KMS) (虛擬機器加密取決於 KMS)。如需更多詳細資料，請參閱 vSphere 安全性說明文件。
• 客體作業系統支援：
  • Windows Server 2016 (64 位元)
  • Windows 10 (64 位元)

硬體 TPM 和虛擬 TPM 之間的差異

將硬體信賴平台模組 (TPM) 用作密碼編譯副處理器，以提供安全的認證或金鑰儲存區。vTPM 與 TPM 執行相同的功能，但在軟體中執行密碼編譯副處理器功能。vTPM 使用.nvram 檔案做為其安全的儲存區，該檔案透過虛擬機器加密進行加密。

硬體 TPM 包含預先載入的金鑰，稱為簽署金鑰 (EK)。EK 具有私密和公開金鑰。EK 為 TPM 提供唯一的身分識別。對於 vTPM，將由 VMware Certificate Authority (VMCA) 或第三方憑證授權機構 (CA) 提供此金鑰。一旦 vTPM 使用金鑰，該金鑰通常不會變更，因為這樣做會導致 vTPM 中儲存的敏感資訊失效。vTPM 在任何時候都不會連線 CA。