Você pode usar o ESXCLI para girar a chave de recuperação de configuração segura do ESXi.

Essa tarefa se aplica apenas a um host ESXi que tem um TPM. Você pode alternar a ESXi chave de recuperação de configuração segura como parte de suas práticas recomendadas de segurança.

Pré-requisitos

  • Ter acesso ao conjunto de comandos ESXCLI. Você pode executar comandos ESXCLI remotamente ou executá-los no Shell do ESXi.
  • Privilégio necessário para usar a versão autônoma do ESXCLI ou por meio de PowerCLI: Host . Config . Settings

Procedimento

  1. Liste a chave de recuperação.
  2. Execute o seguinte comando.
    esxcli system settings encryption recovery rotate [-k keyID] -u uuid

    Neste comando, o keyID opcional é o ID da chave no cache de chaves do VMkernel e uuid é o ID de recuperação (obtido do comando esxcli system settings encryption recovery list). Se você não fornecer a ID da chave opcional, ESXi substituirá a chave de recuperação antiga por uma nova chave de recuperação gerada aleatoriamente.

Resultados

A chave de recuperação agora está definida para o conteúdo da chave referenciada pelo ID da chave, se fornecido. Caso contrário, ESXi fornece um novo ID de chave.