更新时间:2025-08-28 GMT+08:00
配置ECS QingTian TPM
操作场景
QingTian TPM是一种虚拟设备,符合TPM 2.0规范。QingTian TPM可以作为云服务器的可信根,构建涵盖系统启动和用户指定应用的信任链并实现远程证明机制。此外,QingTian TPM能安全地存储例如密码、证书和加密密钥在内的租户身份验证数据。QingTian TPM可以生成密钥,并将它们用于加密功能(例如哈希、签名、加密和解密)。
QingTian TPM提供测量引导,在此过程中,引导加载程序和操作系统将为每个引导二进制文件创建加密哈希,并将它们与 QingTian TPM内部平台配置寄存器 (PCR)中之前的值结合起来。借助测量引导,您可以从QingTian TPM获取签名PCR值,然后使用它们向远程实体证明实例的引导软件的完整性。这称为远程证明。
借助QingTian TPM,可以使用特定PCR值标记密钥和秘密,这样,如果PCR的值进而实例完整性发生变化,就永远无法访问它们。这种特殊形式的有条件访问称为密封和解封。操作系统技术,如BitLocker,可以使用QingTian TPM来密封驱动器解密密钥,以便仅在操作系统正确引导并处于已知良好状态时才能解密驱动器。
约束与限制
- 使用启用了QingTian TPM的镜像启动云服务器后,如果要变更云服务器规格,则目标规格类型也必须支持QingTian TPM。
- QingTian TPM的镜像的引导方式必须是UEFI。
- 使用基于QingTian TPM的密钥加密的BitLocker卷只能在原始实例上使用。
- 弹性云服务器列表不会显示云服务器的QingTian TPM状态。
- QingTian TPM状态不包括在镜像快照中。
计费规则
QingTian TPM功能不会产生额外费用,您仅需为实际使用的ECS资源付费。
配置ECS QingTian TPM
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域和项目。
- 单击“
”,选择“计算 > 弹性云服务器”。
- 单击“购买弹性云服务器”,系统进入创建页。
- 根据业务需要,设置“可信系统”。
- 勾选“TPM”,开启QingTian TPM功能。
- 去勾选“TPM”,关闭QingTian TPM功能。
购买弹性云服务器的基础配置、网络配置以及高级配置,请参见自定义购买弹性云服务器。
- 单击“确认”,完成TPM配置。