Perguntas frequentes sobre o lançamento confiável

Atenção

Este artigo faz referência ao CentOS, uma distribuição Linux que está perto do status de fim de vida útil (EOL). Considere a sua utilização e planeie em conformidade. Para obter mais informações, consulte as diretrizes EOL do CentOS.

Perguntas frequentes (FAQs) sobre casos de uso do recurso Azure Trusted Launch, suporte para outros recursos do Azure e correções para erros comuns.

Casos de utilização

Esta seção responde a perguntas sobre casos de uso do Trusted Launch.

Por que devo usar o Trusted Launch? Contra o que o Trusted Launch protege?

O Trusted Launch protege contra kits de inicialização, rootkits e malware no nível do kernel. Esses tipos sofisticados de malware são executados no modo kernel e permanecem ocultos dos usuários. Por exemplo:

• Rootkits de firmware: Estes kits substituem o firmware do BIOS da máquina virtual (VM), para que o rootkit possa ser iniciado antes do sistema operativo (SO).
• Kits de inicialização: esses kits substituem o carregador de inicialização do sistema operacional para que a VM carregue o kit de inicialização antes do sistema operacional.
• Rootkits do kernel: Esses kits substituem uma parte do kernel do sistema operacional, para que o rootkit possa ser iniciado automaticamente quando o sistema operacional for carregado.
• Rootkits de driver: esses kits fingem ser um dos drivers confiáveis que o sistema operacional usa para se comunicar com os componentes da VM.

Quais são as diferenças entre a Inicialização Segura e a inicialização medida?

Em uma cadeia de Inicialização Segura, cada etapa do processo de inicialização verifica uma assinatura criptográfica das etapas subsequentes. Por exemplo, o BIOS verifica uma assinatura no carregador e o carregador verifica assinaturas em todos os objetos do kernel que carrega, e assim por diante. Se algum dos objetos estiver comprometido, a assinatura não corresponderá e a VM não inicializa. Para obter mais informações, consulte Arranque Seguro.

Como o Trusted Launch se compara à VM blindada do Hyper-V?

Atualmente, a VM blindada do Hyper-V está disponível apenas no Hyper-V. A VM blindada do Hyper-V normalmente é implantada com malha protegida. Uma malha protegida consiste em um serviço de guardião do host (HGS), um ou mais hosts protegidos e um conjunto de VMs blindadas. As VMs blindadas do Hyper-V são usadas em malhas nas quais os dados e o estado da VM devem ser protegidos de vários atores. Esses atores são administradores de malha e software não confiável que pode estar sendo executado nos hosts Hyper-V.

O Lançamento Confiável, por outro lado, pode ser implantado como uma VM autônoma ou como conjuntos de dimensionamento de máquina virtual no Azure sem outra implantação e gerenciamento do HGS. Todos os recursos de Início Confiável podem ser habilitados com uma simples alteração no código de implantação ou uma caixa de seleção no portal do Azure.

O que é VM Guest State (VMGS)?

O VMGS (Estado Convidado da VM) é específico para VMs de Inicialização Confiável. É um blob gerenciado pelo Azure e contém a interface de firmware extensível unificada (UEFI), bancos de dados de assinatura de Inicialização Segura e outras informações de segurança. O ciclo de vida do blob VMGS está vinculado ao do disco do sistema operacional.

Posso desativar a Inicialização Confiável para uma nova implantação de VM?

As VMs de inicialização confiável fornecem segurança de computação fundamental. Recomendamos que você não os desabilite para novas implantações de VM ou conjunto de dimensionamento de máquinas virtuais, exceto se suas implantações dependerem de:

• Um tamanho de VM atualmente não suportado
• Recursos não suportados com o Trusted Launch
• Um SO que não suporta o Trusted Launch

Você pode usar o parâmetro com o valor para desabilitar a securityType Standard Inicialização Confiável em novas implantações de VM ou conjunto de dimensionamento de máquina virtual usando o Azure PowerShell (v10.3.0+) e a CLI do Azure (v2.53.0+).

Nota

Não recomendamos desativar a Inicialização Segura, a menos que você esteja usando kernel ou drivers personalizados não assinados.

Se você precisar desabilitar a Inicialização Segura, na configuração da VM, desmarque a opção Habilitar Inicialização Segura .

CLI

az vm create -n MyVm -g MyResourceGroup --image Ubuntu2204 `
    --security-type 'Standard'

PowerShell

$adminUsername = <USER NAME>
$adminPassword = <PASSWORD> | ConvertTo-SecureString -AsPlainText -Force
$vmCred = New-Object System.Management.Automation.PSCredential($adminUsername, $adminPassword)
New-AzVM -Name MyVm -Credential $vmCred -SecurityType Standard

Recursos e implantações suportados

Esta seção discute os recursos e implantações suportados pelo Trusted Launch.

A Galeria de Computação do Azure é suportada pelo Trusted Launch?

O Início Confiável agora permite que imagens sejam criadas e compartilhadas por meio da Galeria de Computação do Azure (anteriormente Galeria de Imagens Compartilhadas). A fonte da imagem pode ser:

• Uma VM do Azure existente que é generalizada ou especializada.
• Um disco gerenciado existente ou um snapshot.
• Um VHD ou uma versão de imagem de outra galeria.

Para obter mais informações sobre como implantar uma VM de Inicialização Confiável usando a Galeria de Computação do Azure, consulte Implantar VMs de Inicialização Confiável.

O Backup do Azure é suportado pelo Trusted Launch?

O Trusted Launch agora oferece suporte ao Backup do Azure. Para obter mais informações, consulte Matriz de suporte para backup de VM do Azure.

O Backup do Azure continuará funcionando depois que eu habilitar o Trusted Launch?

Os backups configurados com a política Avançado continuam a fazer backups de VMs depois que você habilita o Trusted Launch.

Os discos efêmeros do sistema operacional são suportados pelo Trusted Launch?

O Trusted Launch suporta discos de SO efémeros. Para obter mais informações, consulte Inicialização confiável para discos efêmeros do sistema operacional.

Nota

Quando você usa discos efêmeros para VMs de inicialização confiável, chaves e segredos gerados ou selados pelo vTPM (Trusted Platform Module) virtual após a criação da VM podem não ser persistidos em operações como recriação de imagens e eventos de plataforma, como recuperação de serviços.

Os recursos de segurança disponíveis com inicialização confiável também são aplicáveis aos discos de dados?

A inicialização confiável fornece segurança fundamental para o sistema operacional hospedado na máquina virtual, atestando sua integridade de inicialização. Os recursos de segurança de inicialização confiável são aplicáveis apenas para a execução de discos de SO e SO, não são aplicáveis a discos de dados ou binários de SO armazenados em discos de dados. Para obter mais detalhes, consulte Visão geral do lançamento confiável

Uma VM pode ser restaurada usando backups feitos antes da ativação da Inicialização Confiável?

Os backups feitos antes de atualizar uma VM de Geração 2 existente para a Inicialização Confiável podem ser usados para restaurar toda a VM ou discos de dados individuais. Eles não podem ser usados apenas para restaurar ou substituir o disco do sistema operacional.

Como posso encontrar tamanhos de VM que suportem o Trusted Launch?

Consulte a lista de tamanhos de VM de Geração 2 que suportam o Trusted Launch.

Use os comandos a seguir para verificar se um tamanho de VM de Geração 2 não suporta Inicialização Confiável.

CLI

subscription="<yourSubID>"
region="westus"
vmSize="Standard_NC12s_v3"

az vm list-skus --resource-type virtualMachines  --location $region --query "[?name=='$vmSize'].capabilities" --subscription $subscription

PowerShell

$region = "southeastasia"
$vmSize = "Standard_M64"
(Get-AzComputeResourceSku | where {$_.Locations.Contains($region) -and ($_.Name -eq $vmSize) })[0].Capabilities

A resposta é semelhante à seguinte forma. A saída que inclui TrustedLaunchDisabled True indica que o tamanho da VM de Geração 2 não suporta Inicialização Confiável. Se for um tamanho de VM de Geração 2 e TrustedLaunchDisabled não fizer parte da saída, a Inicialização Confiável será suportada para esse tamanho de VM.

Name                                         Value
----                                         -----
MaxResourceVolumeMB                          8192000
OSVhdSizeMB                                  1047552
vCPUs                                        64
MemoryPreservingMaintenanceSupported         False
HyperVGenerations                            V1,V2
MemoryGB                                     1000
MaxDataDiskCount                             64
CpuArchitectureType                          x64
MaxWriteAcceleratorDisksAllowed              8
LowPriorityCapable                           True
PremiumIO                                    True
VMDeploymentTypes                            IaaS
vCPUsAvailable                               64
ACUs                                         160
vCPUsPerCore                                 2
CombinedTempDiskAndCachedIOPS                80000
CombinedTempDiskAndCachedReadBytesPerSecond  838860800
CombinedTempDiskAndCachedWriteBytesPerSecond 838860800
CachedDiskBytes                              1318554959872
UncachedDiskIOPS                             40000
UncachedDiskBytesPerSecond                   1048576000
EphemeralOSDiskSupported                     True
EncryptionAtHostSupported                    True
CapacityReservationSupported                 False
TrustedLaunchDisabled                        True
AcceleratedNetworkingEnabled                 True
RdmaEnabled                                  False
MaxNetworkInterfaces                         8

Como posso validar se a imagem do meu SO suporta o Trusted Launch?

Consulte a lista de versões do SO suportadas com o Trusted Launch.

Imagens do SO do Marketplace

Use os comandos a seguir para verificar se uma imagem do sistema operacional do Azure Marketplace dá suporte ao Trusted Launch.

CLI

az vm image show --urn "MicrosoftWindowsServer:WindowsServer:2022-datacenter-azure-edition:latest"

A resposta é semelhante à seguinte forma. Se hyperVGeneration estiver v2 e SecurityType contiver TrustedLaunch na saída, a imagem do SO de Geração 2 suporta Trusted Launch.

{
  "architecture": "x64",
  "automaticOsUpgradeProperties": {
    "automaticOsUpgradeSupported": false
  },
  "dataDiskImages": [],
  "disallowed": {
    "vmDiskType": "Unmanaged"
  },
  "extendedLocation": null,
  "features": [
    {
      "name": "SecurityType",
      "value": "TrustedLaunchAndConfidentialVmSupported"
    },
    {
      "name": "IsAcceleratedNetworkSupported",
      "value": "True"
    },
    {
      "name": "DiskControllerTypes",
      "value": "SCSI, NVMe"
    },
    {
      "name": "IsHibernateSupported",
      "value": "True"
    }
  ],
  "hyperVGeneration": "V2",
  "id": "/Subscriptions/00000000-0000-0000-0000-00000000000/Providers/Microsoft.Compute/Locations/westus/Publishers/MicrosoftWindowsServer/ArtifactTypes/VMImage/Offers/WindowsServer/Skus/2022-datacenter-azure-edition/Versions/20348.1906.230803",
  "imageDeprecationStatus": {
    "alternativeOption": null,
    "imageState": "Active",
    "scheduledDeprecationTime": null
  },
  "location": "westus",
  "name": "20348.1906.230803",
  "osDiskImage": {
    "operatingSystem": "Windows",
    "sizeInGb": 127
  },
  "plan": null,
  "tags": null
}

PowerShell

Get-AzVMImage -Skus 22_04-lts-gen2 -PublisherName Canonical -Offer 0001-com-ubuntu-server-jammy -Location westus3 -Version latest

Você pode usar a saída do comando com Máquinas virtuais - Obter API. A resposta é semelhante à seguinte forma. Se hyperVGeneration estiver v2 e SecurityType contiver TrustedLaunch na saída, a imagem do SO de Geração 2 suporta Trusted Launch.

{
    "properties": {
        "hyperVGeneration": "V2",
        "architecture": "x64",
        "replicaType": "Managed",
        "replicaCount": 10,
        "disallowed": {
            "vmDiskType": "Unmanaged"
        },
        "automaticOSUpgradeProperties": {
            "automaticOSUpgradeSupported": false
        },
        "imageDeprecationStatus": {
            "imageState": "Active"
        },
        "features": [
            {
                "name": "SecurityType",
                "value": "TrustedLaunchSupported"
            },
            {
                "name": "IsAcceleratedNetworkSupported",
                "value": "True"
            },
            {
                "name": "DiskControllerTypes",
                "value": "SCSI, NVMe"
            },
            {
                "name": "IsHibernateSupported",
                "value": "True"
            }
        ],
        "osDiskImage": {
            "operatingSystem": "Linux",
            "sizeInGb": 30
        },
        "dataDiskImages": []
    },
    "location": "WestUS3",
    "name": "22.04.202309080",
    "id": "/Subscriptions/00000000-0000-0000-0000-000000000000/Providers/Microsoft.Compute/Locations/WestUS3/Publishers/Canonical/ArtifactTypes/VMImage/Offers/0001-com-ubuntu-server-jammy/Skus/22_04-lts-gen2/Versions/22.04.202309080"
}

Imagem do SO da Galeria de Computação do Azure

Use os comandos a seguir para verificar se uma imagem do sistema operacional da Galeria de Computação do Azure dá suporte ao Trusted Launch.

CLI

az sig image-definition show `
    --gallery-image-definition myImageDefinition `
    --gallery-name myImageGallery `
    --resource-group myImageGalleryRg

A resposta é semelhante à seguinte forma. Se hyperVGeneration estiver v2 e SecurityType contiver TrustedLaunch na saída, a imagem do SO de Geração 2 suporta Trusted Launch.

{
  "architecture": "x64",
  "features": [
    {
      "name": "SecurityType",
      "value": "TrustedLaunchSupported"
    }
  ],
  "hyperVGeneration": "V2",
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myImageGalleryRg/providers/Microsoft.Compute/galleries/myImageGallery/images/myImageDefinition",
  "identifier": {
    "offer": "myImageDefinition",
    "publisher": "myImageDefinition",
    "sku": "myImageDefinition"
  },
  "location": "westus3",
  "name": "myImageDefinition",
  "osState": "Generalized",
  "osType": "Windows",
  "provisioningState": "Succeeded",
  "recommended": {
    "memory": {
      "max": 32,
      "min": 1
    },
    "vCPUs": {
      "max": 16,
      "min": 1
    }
  },
  "resourceGroup": "myImageGalleryRg",
  "tags": {},
  "type": "Microsoft.Compute/galleries/images"
}

PowerShell

Get-AzGalleryImageDefinition -ResourceGroupName myImageGalleryRg `
    -GalleryName myImageGallery -GalleryImageDefinitionName myImageDefinition

A resposta é semelhante à seguinte forma. Se hyperVGeneration estiver v2 e SecurityType contiver TrustedLaunch na saída, a imagem do SO de Geração 2 suporta Trusted Launch.

ResourceGroupName : myImageGalleryRg
OsType            : Windows
OsState           : Generalized
HyperVGeneration  : V2
Identifier        :
  Publisher       : myImageDefinition
  Offer           : myImageDefinition
  Sku             : myImageDefinition
Recommended       :
  VCPUs           :
    Min           : 1
    Max           : 16
  Memory          :
    Min           : 1
    Max           : 32
ProvisioningState : Succeeded
Id                : /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myImageGalleryRg/providers/Microsoft.Compute/galleries/myImageGallery/images/myImageDefinition
Name              : myImageDefinition
Type              : Microsoft.Compute/galleries/images
Location          : westus3
Tags              : {}
Features[0]       :
  Name            : SecurityType
  Value           : TrustedLaunchSupported
Architecture      : x64

Como os drivers de comunicação externa funcionam com VMs de inicialização confiáveis?

Adicionar portas COM requer que você desabilite a Inicialização Segura. As portas COM são desabilitadas por padrão em VMs de inicialização confiáveis.

Solução de problemas

Esta seção responde a perguntas sobre estados específicos, tipos de inicialização e problemas comuns de inicialização.

O que devo fazer quando minha VM de inicialização confiável tiver falhas de implantação?

Esta seção fornece detalhes adicionais sobre falhas de implantação do Trusted Launch para que você tome as medidas adequadas para evitá-las.

Virtual machine <vm name> failed to create from the selected snapshot because the virtual Trusted Platform Module (vTPM) state is locked.
To proceed with the VM creation, please select a different snapshot without a locked vTPM state.
For more assistance, please refer to “Troubleshooting locked vTPM state” in FAQ page at https://aka.ms/TrustedLaunch-FAQ. 

Esse erro de implantação acontece quando o instantâneo ou o ponto de restauração fornecido está inacessível ou inutilizável pelos seguintes motivos:

1. Estado convidado da máquina virtual (VMGS) corrompido
2. vTPM em um estado bloqueado
3. Um ou mais índices críticos de vTPM estão em um estado inválido.

O acima pode acontecer se um usuário ou carga de trabalho em execução na máquina virtual definir o bloqueio no vTPM ou modificar índices críticos de vTPM que deixam o vTPM em um estado inválido.

Tentar novamente com o mesmo ponto de snapshot/restauração resultará na mesma falha.

Para resolver isto:

1. Na VM de inicialização confiável de origem onde o instantâneo ou ponto de restauração foi gerado, os erros vTPM devem ser corrigidos.
   1. Se o estado vTPM foi modificado por uma carga de trabalho na máquina virtual, você precisará usar o mesmo para verificar os estados de erro e trazer o vTPM para um estado sem erro.
   2. Se as ferramentas TPM foram usadas para modificar o estado vTPM, então você deve usar as mesmas ferramentas para verificar os estados de erro e trazer o vTPM para um estado sem erro.

Quando o instantâneo ou o ponto de restauração estiver livre desses erros, você poderá usá-lo para criar uma nova VM de Inicialização Confiável.

Por que a VM de inicialização confiável não está inicializando corretamente?

Se componentes não assinados forem detetados a partir do UEFI (firmware convidado), carregador de inicialização, sistema operacional ou drivers de inicialização, uma VM de inicialização confiável não inicializará. A configuração de Inicialização Segura na VM de Inicialização Confiável falhará ao inicializar se componentes de inicialização não assinados ou não confiáveis forem encontrados durante o processo de inicialização e relatará como uma falha de Inicialização Segura.

Nota

As VMs de Inicialização Confiável criadas diretamente de uma imagem do Azure Marketplace não devem encontrar falhas de Inicialização Segura. As imagens da Galeria de Computação do Azure com uma fonte de imagem original do Azure Marketplace e instantâneos criados a partir de VMs de Inicialização Confiável também não devem encontrar esses erros.

Como verifico um cenário sem inicialização no portal do Azure?

Quando uma VM fica indisponível devido a uma falha de Inicialização Segura, "no-boot" significa que a VM tem um componente do sistema operacional assinado por uma autoridade confiável, que bloqueia a inicialização de uma VM de Inicialização Confiável. Na implantação de VM, você pode ver informações da integridade do recurso no portal do Azure informando que há um erro de validação na Inicialização Segura.

Para acessar a integridade do recurso na página de configuração da VM, vá para Integridade do recurso no painel Ajuda.

Se você verificou que a não inicialização foi causada por uma falha na Inicialização Segura:

1. A imagem que você está usando é uma versão mais antiga que pode ter um ou mais componentes de inicialização não confiáveis e está em um caminho de descontinuação. Para corrigir uma imagem desatualizada, atualize para uma versão de imagem mais recente suportada.
2. A imagem que você está usando pode ter sido criada fora de uma fonte do marketplace ou os componentes de inicialização foram modificados e contêm componentes de inicialização não assinados ou não confiáveis. Para verificar se a imagem tem componentes de inicialização não assinados ou não confiáveis, consulte a seção a seguir, "Verificar falhas de inicialização segura".
3. Se os dois cenários anteriores não se aplicarem, a VM está potencialmente infetada com malware (bootkit/rootkit). Considere excluir a VM e recriar uma nova VM a partir da mesma imagem de origem enquanto avalia todo o software que está sendo instalado.

Por que minha VM de inicialização confiável mostra 50 MB a menos de memória?

Com o Trusted Launch, um ambiente de execução comumente conhecido como "o paravisor" é criado e executado dentro da VM. Normalmente, cerca de 50MB de memória é usado pelo paravisor e seria mostrado como "reservado" dentro do sistema operacional convidado.

Verificar falhas de Inicialização Segura

Esta seção ajuda você a verificar falhas de Inicialização Segura.

Máquinas virtuais do Linux

Para verificar quais componentes de inicialização são responsáveis por falhas de Inicialização Segura em uma VM Linux do Azure, você pode usar a ferramenta SBInfo do Pacote de Segurança do Linux.

1. Desative a Inicialização Segura.
2. Conecte-se à sua VM de inicialização confiável do Azure Linux.
3. Instale a ferramenta SBInfo para a distribuição que sua VM está executando. Ele reside dentro do Linux Security Package.

Distribuições baseadas em Debian

Estes comandos aplicam-se ao Ubuntu, Debian e outras distribuições baseadas em Debian.

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ trusty main" | sudo tee -a /etc/apt/sources.list.d/azure.list

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ xenial main" | sudo tee -a /etc/apt/sources.list.d/azure.list

echo "deb [arch=amd64] http://packages.microsoft.com/repos/azurecore/ bionic main" | sudo tee -a /etc/apt/sources.list.d/azure.list

wget https://packages.microsoft.com/keys/microsoft.asc

wget https://packages.microsoft.com/keys/msopentech.asc

sudo apt-key add microsoft.asc && sudo apt-key add msopentech.asc

sudo apt update && sudo apt install azure-security

Distribuições baseadas em Red Hat

Esses comandos se aplicam a RHEL, CentOS e outras distribuições baseadas em Red Hat.

echo "[packages-microsoft-com-azurecore]" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "name=packages-microsoft-com-azurecore" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "baseurl=https://packages.microsoft.com/yumrepos/azurecore/" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "enabled=1" | sudo tee -a /etc/yum.repos.d/azurecore.repo

echo "gpgcheck=0" | sudo tee -a /etc/yum.repos.d/azurecore.repo

sudo yum install azure-security

Distribuições baseadas em SUSE

Esses comandos se aplicam ao SLES, openSUSE e outras distribuições baseadas em SUSE.

sudo zypper ar -t rpm-md -n "packages-microsoft-com-azurecore" --no-gpgcheck https://packages.microsoft.com/yumrepos/azurecore/ azurecore

sudo zypper install azure-security

Depois de instalar o Linux Security Package para sua distribuição, execute o sbinfo comando para verificar quais componentes de inicialização são responsáveis por falhas de Inicialização Segura, exibindo todos os módulos não assinados, kernels e bootloaders.

sudo sbinfo -u -m -k -b 

Para saber mais sobre a ferramenta de diagnóstico SBInfo, você pode executar sudo sbinfo -help.

Por que estou recebendo uma falha de monitoramento de integridade de inicialização?

A Inicialização Confiável para VMs do Azure é monitorada quanto a ameaças avançadas. Se essas ameaças forem detetadas, um alerta será disparado. Os alertas só estarão disponíveis se os recursos de segurança aprimorados no Microsoft Defender for Cloud estiverem habilitados.

O Microsoft Defender for Cloud realiza periodicamente o atestado. Se o atestado falhar, um alerta de gravidade média será acionado. O atestado de inicialização confiável pode falhar pelos seguintes motivos:

• As informações atestadas, que incluem um log da Base de Computação Confiável (TCB), desviam-se de uma linha de base confiável (como quando a Inicialização Segura está habilitada). Qualquer desvio indica que módulos não confiáveis foram carregados e o sistema operacional pode estar comprometido.
• Não foi possível verificar se a citação do atestado provém do vTPM da VM atestada. A falha de verificação indica que malware está presente e pode estar intercetando o tráfego para o TPM.
• A extensão de atestado na VM não está respondendo. Uma extensão que não responde indica um ataque de negação de serviço por malware ou um administrador do sistema operacional.

Certificados

Esta secção fornece informações sobre certificados.

Como posso estabelecer uma raiz de confiança com VMs de inicialização confiáveis?

O certificado público TPM AK virtual fornece visibilidade para informações sobre toda a cadeia de certificados (Certificados Raiz e Intermediários) para ajudá-lo a validar a confiança no certificado e na cadeia raiz. Para garantir que você tenha continuamente a mais alta postura de segurança para o Trusted Launch, ele fornece informações sobre as propriedades da instância para que você possa rastrear toda a cadeia.

Instruções de transferência

Os certificados de pacote, compostos por .p7b (Autoridade de Certificação Completa) e .cer (CA Intermediária), revelam a assinatura e a autoridade de certificação. Copie o conteúdo relevante e use ferramentas de certificado para inspecionar e avaliar detalhes de certificados.

Selecione para baixar o .crt a seguir para a Autoridade de Certificação Raiz do TPM Virtual do Azure 2023

Autoridade de Certificação Raiz do Azure Virtual TPM 2023

Selecione para visualizar o conteúdo .p7b

Global Virtual TPM CA - 01:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Full Certificate Authority Details

Thumbprint # cdb9bc34197a5355f652f1583fbd4e9a1d4801f0
Serial Number # 51f431da2c92088a4e29e0d929de4aa7
Valid Until # 01/Jun/2048

Selecione para exibir o conteúdo .cert do Certificado Raiz

Autoridade de Certificação Raiz do Azure Virtual TPM 2023

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Selecione para exibir o conteúdo intermediário da autoridade de certificação

Autoridade de certificação intermediária para certificado TPM:

"Global Virtual TPM CA - XX" (intermediate CA) [.cer], 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Intermediate Certificate Authority

Thumbprint # db1f3959dcce7091f87c43446be1f4ab2d3415b7
Serial Number # 3300000002c0d17b4b8f979c35000000000002
Valid Until # November 3rd, 2025