配置ECS QingTian TPM

操作场景

QingTian TPM是一种虚拟设备，符合TPM 2.0规范。QingTian TPM可以作为云服务器的可信根，构建涵盖系统启动和用户指定应用的信任链并实现远程证明机制。此外，QingTian TPM能安全地存储例如密码、证书和加密密钥在内的租户身份验证数据。QingTian TPM可以生成密钥，并将它们用于加密功能（例如哈希、签名、加密和解密）。

QingTian TPM提供测量引导，在此过程中，引导加载程序和操作系统将为每个引导二进制文件创建加密哈希，并将它们与 QingTian TPM内部平台配置寄存器 （PCR）中之前的值结合起来。借助测量引导，您可以从QingTian TPM获取签名PCR值，然后使用它们向远程实体证明实例的引导软件的完整性。这称为远程证明。

借助QingTian TPM，可以使用特定PCR值标记密钥和秘密，这样，如果PCR的值进而实例完整性发生变化，就永远无法访问它们。这种特殊形式的有条件访问称为密封和解封。操作系统技术，如BitLocker，可以使用QingTian TPM来密封驱动器解密密钥，以便仅在操作系统正确引导并处于已知良好状态时才能解密驱动器。

约束与限制

• 使用启用了QingTian TPM的镜像启动云服务器后，如果要变更云服务器规格，则目标规格类型也必须支持QingTian TPM。
• QingTian TPM的镜像的引导方式必须是UEFI。
• 使用基于QingTian TPM的密钥加密的BitLocker卷只能在原始实例上使用。
• 弹性云服务器列表不会显示云服务器的QingTian TPM状态。
• QingTian TPM状态不包括在镜像快照中。

计费规则

QingTian TPM功能不会产生额外费用，您仅需为实际使用的ECS资源付费。

配置ECS QingTian TPM

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域和项目。
3. 单击“”，选择“计算 > 弹性云服务器”。
4. 单击“购买弹性云服务器”，系统进入创建页。
5. 根据业务需要，设置“可信系统”。
   • 勾选“TPM”，开启QingTian TPM功能。
   • 去勾选“TPM”，关闭QingTian TPM功能。

   购买弹性云服务器的基础配置、网络配置以及高级配置，请参见自定义购买弹性云服务器。

6. 单击“确认”，完成TPM配置。