Hướng dẫn chi tiết cách di chuyển máy ảo sử dụng Hyper-V thế hệ 2 mà vẫn đáp ứng yêu cầu TPM của Windows 11
Microsoft mới đây đã phát hành một tài liệu kỹ thuật chi tiết, nhằm hỗ trợ các quản trị viên hệ thống trong việc đảm bảo yêu cầu về TPM 2.0 khi di chuyển máy ảo (VM) sử dụng Hyper-V thế hệ 2 – đặc biệt trong môi trường có triển khai Windows 11 hoặc Windows Server 2025.
Microsoft nhấn mạnh rằng việc hiểu và triển khai đúng các hướng dẫn này là rất quan trọng vì các hệ điều hành chạy trên máy ảo Hyper-V thế hệ thứ hai (như Windows 11 và Windows Server 2025) có thể duy trì các tính năng bảo mật hoàn chỉnh khi di chuyển giữa các máy chủ.
Ảnh techcommunity.microsoft.com
TPM 2.0 là yêu cầu bắt buộc trên Windows 11 để kích hoạt các tính năng bảo mật như:
Khi tạo máy ảo thế hệ 2 có bật vTPM, Hyper-V sẽ tự động sinh ra hai chứng chỉ dạng tự ký (self-signed), lưu trong hệ thống dưới tên:
Cả hai đều nằm trong mục:
MMC > Certificates (Local Computer) > Personal > Protected Virtual Machines
và có thời hạn mặc định 10 năm.
Microsoft cũng cung cấp tập lệnh PowerShell hỗ trợ tự động hóa quá trình export/import, giúp triển khai hàng loạt dễ dàng.
Vì chứng chỉ mặc định có hiệu lực 10 năm, Microsoft lưu ý nên lập kế hoạch kiểm tra, gia hạn và thay thế trước thời điểm hết hạn để tránh gián đoạn dịch vụ.
Nếu bạn đang vận hành hạ tầng Hyper-V có sử dụng vTPM cho Windows 11, hãy lưu ý: việc sao lưu và di chuyển đúng chứng chỉ là yếu tố sống còn để duy trì tính bảo mật và hoạt động ổn định khi di chuyển máy ảo.
Việc lơ là khâu chứng chỉ có thể khiến VM mất khả năng khởi động, ảnh hưởng dữ liệu doanh nghiệp – vì thế, hãy chuẩn hóa quy trình từ bây giờ.
Microsoft nhấn mạnh rằng việc hiểu và triển khai đúng các hướng dẫn này là rất quan trọng vì các hệ điều hành chạy trên máy ảo Hyper-V thế hệ thứ hai (như Windows 11 và Windows Server 2025) có thể duy trì các tính năng bảo mật hoàn chỉnh khi di chuyển giữa các máy chủ.
Ảnh techcommunity.microsoft.com
Tại sao phải quan tâm đến vTPM khi di chuyển máy ảo?
TPM 2.0 là yêu cầu bắt buộc trên Windows 11 để kích hoạt các tính năng bảo mật như:
- BitLocker
- Secure Boot
- Credential Guard
Hai chứng chỉ quan trọng trong vTPM
Khi tạo máy ảo thế hệ 2 có bật vTPM, Hyper-V sẽ tự động sinh ra hai chứng chỉ dạng tự ký (self-signed), lưu trong hệ thống dưới tên:
- UntrustedGuardian (ComputerName) – Chứng chỉ mã hóa
- UntrustedGuardian (ComputerName) – Chứng chỉ ký số
Cả hai đều nằm trong mục:
MMC > Certificates (Local Computer) > Personal > Protected Virtual Machines
và có thời hạn mặc định 10 năm.
Nguy cơ khi di chuyển máy ảo mà không xử lý chứng chỉ
Nếu không di chuyển kèm theo hai chứng chỉ trên và khóa riêng tư, vTPM trên máy ảo sẽ mất hiệu lực khi di chuyển sang máy chủ khác – dẫn đến:
- Máy ảo không khởi động được
- Mất dữ liệu mã hóa BitLocker
- Không thể truy cập dữ liệu bảo mật
Hướng dẫn di chuyển đúng cách
Microsoft khuyến nghị các bước sau khi muốn xuất/nhập máy ảo có vTPM:Bước 1:
Xuất chứng chỉ từ máy chủ nguồn
- Mở certlm.msc
- Điều hướng đến: Personal > Certificates
- Tìm 2 chứng chỉ UntrustedGuardian
- Export cả certificate và private key sang file .PFX
Bước 2:
Nhập vào máy chủ đích
- Trên máy chủ mới, mở certlm.msc
- Import file .PFX vào đúng thư mục:
Personal > Protected Virtual Machines - Đảm bảo đánh dấu chứng chỉ là “trusted”
Bước 3:
PowerShell hỗ trợ
Microsoft cũng cung cấp tập lệnh PowerShell hỗ trợ tự động hóa quá trình export/import, giúp triển khai hàng loạt dễ dàng.
Chứng chỉ có hạn dùng – cần kiểm tra định kỳ
Vì chứng chỉ mặc định có hiệu lực 10 năm, Microsoft lưu ý nên lập kế hoạch kiểm tra, gia hạn và thay thế trước thời điểm hết hạn để tránh gián đoạn dịch vụ.
Tài liệu đầy đủ và PowerShell mẫu
Bạn có thể đọc bài viết chi tiết và tải mã nguồn PowerShell tại Microsoft Tech Community:Hyper-V Virtual TPMs, Certificates, VM Export and Migration | Microsoft Community Hub
Virtual Trusted Platform Modules (vTPM) in Hyper-V allow you to run guest operating systems, such as Windows 11 or Windows Server 2025 with security features...
Nếu bạn đang vận hành hạ tầng Hyper-V có sử dụng vTPM cho Windows 11, hãy lưu ý: việc sao lưu và di chuyển đúng chứng chỉ là yếu tố sống còn để duy trì tính bảo mật và hoạt động ổn định khi di chuyển máy ảo.
Việc lơ là khâu chứng chỉ có thể khiến VM mất khả năng khởi động, ảnh hưởng dữ liệu doanh nghiệp – vì thế, hãy chuẩn hóa quy trình từ bây giờ.
BÀI MỚI ĐANG THẢO LUẬN