Você pode usar o ESXCLI para girar a chave de recuperação de configuração segura do ESXi.
Essa tarefa se aplica apenas a um host
ESXi que tem um TPM. Você pode alternar a
ESXi chave de recuperação de configuração segura como parte de suas práticas recomendadas de segurança.
Pré-requisitos
- Ter acesso ao conjunto de comandos ESXCLI. Você pode executar comandos ESXCLI remotamente ou executá-los no Shell do ESXi.
- Privilégio necessário para usar a versão autônoma do ESXCLI ou por meio de PowerCLI:
Procedimento
- Liste a chave de recuperação.
- Execute o seguinte comando.
esxcli system settings encryption recovery rotate [-k keyID] -u uuid
Neste comando, o keyID opcional é o ID da chave no cache de chaves do VMkernel e uuid é o ID de recuperação (obtido do comando esxcli system settings encryption recovery list
). Se você não fornecer a ID da chave opcional, ESXi substituirá a chave de recuperação antiga por uma nova chave de recuperação gerada aleatoriamente.
Resultados
A chave de recuperação agora está definida para o conteúdo da chave referenciada pelo ID da chave, se fornecido. Caso contrário, ESXi fornece um novo ID de chave.