更新时间:2025-08-28 GMT+08:00

配置ECS QingTian TPM

操作场景

QingTian TPM是一种虚拟设备,符合TPM 2.0规范。QingTian TPM可以作为云服务器的可信根,构建涵盖系统启动和用户指定应用的信任链并实现远程证明机制。此外,QingTian TPM能安全地存储例如密码、证书和加密密钥在内的租户身份验证数据。QingTian TPM可以生成密钥,并将它们用于加密功能(例如哈希、签名、加密和解密)。

QingTian TPM提供测量引导,在此过程中,引导加载程序和操作系统将为每个引导二进制文件创建加密哈希,并将它们与 QingTian TPM内部平台配置寄存器 (PCR)中之前的值结合起来。借助测量引导,您可以从QingTian TPM获取签名PCR值,然后使用它们向远程实体证明实例的引导软件的完整性。这称为远程证明。

借助QingTian TPM,可以使用特定PCR值标记密钥和秘密,这样,如果PCR的值进而实例完整性发生变化,就永远无法访问它们。这种特殊形式的有条件访问称为密封和解封。操作系统技术,如BitLocker,可以使用QingTian TPM来密封驱动器解密密钥,以便仅在操作系统正确引导并处于已知良好状态时才能解密驱动器。

约束与限制

  • 使用启用了QingTian TPM的镜像启动云服务器后,如果要变更云服务器规格,则目标规格类型也必须支持QingTian TPM。
  • QingTian TPM的镜像的引导方式必须是UEFI。
  • 使用基于QingTian TPM的密钥加密的BitLocker卷只能在原始实例上使用。
  • 弹性云服务器列表不会显示云服务器的QingTian TPM状态。
  • QingTian TPM状态不包括在镜像快照中。

计费规则

QingTian TPM功能不会产生额外费用,您仅需为实际使用的ECS资源付费。

配置ECS QingTian TPM

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 单击“”,选择“计算 > 弹性云服务器”。
  4. 单击“购买弹性云服务器”,系统进入创建页。
  5. 根据业务需要,设置“可信系统”。
    • 勾选“TPM”,开启QingTian TPM功能。
    • 去勾选“TPM”,关闭QingTian TPM功能。

    购买弹性云服务器的基础配置、网络配置以及高级配置,请参见自定义购买弹性云服务器

  6. 单击“确认”,完成TPM配置。