如何在 KVM 上启用 TPM 2.0 并安装 Windows 11

微软于 2021 年 10 月 5 日正式宣布推出 Windows 11。这个 Windows 版本具有许多令人惊叹的功能。其中一项功能是系统安全性，允许 Windows 11 仅在具有可信平台模块 2.0 安全协处理器的设备上运行。安装 Windows 11 时，这会导致错误，要求您启用 TPM。

什么是TPM？

TPM是可信平台模块的缩写。这是一种在系统上提供基于硬件的安全功能的技术。 TPM 芯片是执行加密操作的安全加密处理器。该芯片包含多种安全机制，可防止篡改。因此，恶意软件无法干扰其安全功能。 TPM 技术的主要优点是：

• 它允许人们生成、存储和限制加密密钥的使用。
• 它可用于使用刻录在其中的 TPM 唯一 RSA 密钥进行平台设备身份验证。
• 它获取并存储安全测量结果，以帮助确保平台的完整性

大多数情况下，TPM 用于系统完整性测量和密钥创建/使用。当系统启动时，启动代码（包括固件和操作系统组件）将被测量并记录在 TPM 中。这可以提供有关系统如何启动的统计信息，并确保正确使用基于 TPM 的密钥。

本指南说明如何在 KVM 上启用 TPM 2.0 并安装 Windows 11。

在你开始之前。

本指南要求您具备以下条件：

• 从 Microsoft 下载页面获取的 Windows 11 iso 文件
• KVM 安装并配置。

以下指南可用于在您的系统上安装和配置 KVM：

• 在 Ubuntu 上安装 KVM 管理程序
• 如何在 Debian 上安装 KVM 管理程序
• 如何在 RHEL 8/CentOS 8 上安装 KVM
• 在 Arch Linux/Manjaro 上安装 KVM、QEMU 和 Virt Manager

安装后，请按以下步骤操作。

安装所需的软件包

安装 KVM 后，您需要以下软件包才能启用 TPM 2.0。根据您的系统，选择适当的命令：

• 在 Debian/Ubuntu 上

添加 swtpm-tools 的 PPA。

sudo tee  /etc/apt/sources.list.d/swtpm-tools.list<<EOF
deb [trusted=yes] http://ppa.launchpad.net/stefanberger/swtpm-focal/ubuntu focal main
EOF

将“focal”替换为您的 Ubuntu 版本的代号。然后继续使用以下命令安装所需的工具：

sudo apt update -y && sudo apt -y install ovmf swtpm swtpm-tools virt-manager virt-viewer

• 在 RHEL/CentOS/Rocky Linux/Alma Linux 上

sudo yum install epel-release -y
sudo yum install edk2-ovmf swtpm swtpm-tools virt-manager virt-install virt-viewer

启用 TPM 2.0 并在 KVM 上安装 Windows 11

安装所需的工具后，您可以在启用 TPM 2.0 和安全启动的 KVM 上轻松安装 Windows 11。

通常，有两种方法可以在 KVM 上创建和运行虚拟机。这些包括：

• 使用 GUI
• 使用 CLI

要为 KVM 创建网桥，请使用以下指南中的帮助：

• 如何在 Linux 中为 KVM 创建和配置桥接网络
• 如何在 RHEL/CentOS 8 上创建 Linux 网桥
• 如何在 Arch Linux 和 Manjaro 上创建和使用网桥

选项 1 - 使用 Virtual Machine Manager GUI 工具

您可以使用虚拟机管理器轻松创建和管理 KVM 上的虚拟机。从应用程序菜单启动虚拟机管理器。

首先创建一个新的虚拟机。

您将需要加载 Windows 11 ISO 文件。

浏览并加载 ISO 文件：

接下来，配置 VM 的 CPU 和内存。

为虚拟机创建硬盘并设置磁盘大小

在此页面上，通过选中该框允许在安装前进行自定义。您还可以配置虚拟机网络。在本指南中，我使用了桥接网络。

在概览窗口中，选择添加硬件。

添加 TPM 2.0 并进行如图所示的设置。然后单击“完成”应用更改。

您还可以通过添加硬件来启用 VNC，如下所示：

完成后单击“完成”并返回到概述窗口。

在开始安装之前，请记住更改芯片组和固件。应用更改并开始安装。

继续正常的 Windows 11 安装。

选择安装 Windows 选项并继续。

选项 2 - 使用 virt-install CLI 工具

从 CLI 在 KVM 上运行 Windows 11 更容易，您所需要做的就是运行以下命令并传递所有必需的变量：

• 在 Debian/Ubuntu 上

sudo virt-install \
--name Windows11 \
--ram 4096 \
--disk path=/var/lib/libvirt/images/Windows_11.img,size=55 \
--vcpus=2 \
--os-variant=win10 \
--network bridge=virbr0 \
--cdrom /home/Win11_English_x64v1.iso \
--graphics vnc,listen=0.0.0.0,password=StrongPassw0rd \
--video virtio \
--features kvm_hidden=on,smm=on \
--tpm backend.type=emulator,backend.version=2.0,model=tpm-tis \
--boot loader=/usr/share/OVMF/OVMF_CODE.secboot.fd,loader_ro=yes,loader_type=pflash,nvram_template=/usr/share/OVMF/OVMF_VARS.ms.fd

• 在 RHEL/CentOS/Rocky Linux/Alma Linux 上

sudo virt-install \
--name Windows11 \
--ram 4096 \
--disk path=/var/lib/libvirt/images/Windows_11.img,size=55 \
--vcpus=2 \
--os-variant=win10 \
--network bridge=virbr0 \
--cdrom /home/Win11_English_x64v1.iso \
--graphics vnc,listen=0.0.0.0,password=StrongPassw0rd \
--video virtio \
--features kvm_hidden=on,smm=on \
--tpm backend.type=emulator,backend.version=2.0,model=tpm-tis \
--boot loader=/usr/share/edk2/ovmf/OVMF_CODE.secboot.fd,loader_ro=yes,loader_type=pflash,nvram_template=/usr/share/edk2/ovmf/OVMF_VARS.secboot.fd

请记住在需要时编辑变量。您可能需要编辑 CPU、磁盘大小（建议大小超过 52GB）、内存、网桥等。提供 VNC 的设置密码并继续安装。

同样在这里，正常的 Windows 11 安装将继续进行

配置硬盘。

Sita回来等待安装完成：

一切完成后，验证 TPM 2.0 是否已启用

结论

这标志着本关于如何在 KVM 上启用 TPM 2.0 并安装 Windows 11 的指南的结束。我希望这对您很重要。

查看更多：

使用 PXE 和 Kickstart 在 KVM 上安装虚拟机

如何在 CentOS Stream 8 上安装和使用 KVM

在 Debian 上安装 OpenNebula KVM 节点