Você pode optar por ativar a aplicação de inicialização segura de UEFI ou desativar uma aplicação de inicialização segura de UEFI ativada anteriormente. Você deve usar o ESXCLI para alterar a configuração no TPM no host ESXi.
Esta tarefa aplica-se apenas a ESXi hosts que têm um TPM. A inicialização segura da UEFI é uma configuração de firmware para garantir que o software iniciado pelo firmware seja confiável. A ativação da inicialização segura da UEFI pode ser aplicada a cada inicialização usando o TPM.
Pré-requisitos
- Ter acesso ao conjunto de comandos ESXCLI. Você pode executar comandos ESXCLI remotamente ou executá-los no Shell do ESXi.
- Privilégio necessário para usar a versão autônoma do ESXCLI ou por meio de PowerCLI:
Procedimento
- Liste as configurações atuais no host ESXi.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true
Se a aplicação de inicialização segura estiver ativada, Exigir Inicialização Segura exibirá true. Se a aplicação de inicialização segura estiver desativada, a opção Exigir Inicialização Segura exibirá falso.
- Ative ou desative a aplicação de inicialização segura.
Opção |
Descrição |
Ativar |
- Desligue o host normalmente.
Por exemplo, clique com o botão direito do mouse no host ESXi em vSphere Client e selecione .
- Ative a inicialização segura no firmware do host.
Consulte a documentação do hardware do seu fornecedor específico.
- Reinicie o host.
- Execute o seguinte comando ESXCLI.
esxcli system settings encryption set --require-secure-boot=T
- Verifique a alteração.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true Confirme que a inicialização segura necessária exibe true.
- Para salvar a configuração, execute o seguinte comando.
/sbin/auto-backup.sh
|
Desabilitar |
- Execute o seguinte comando ESXCLI.
esxcli system settings encryption set --require-secure-boot=F
- Verifique a alteração.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: false Confirme que Exigir Inicialização Segura exibe false.
- Para salvar a configuração, execute o seguinte comando.
/sbin/auto-backup.sh Você pode optar por desativar a inicialização segura no firmware do host, mas, neste ponto, a dependência entre a configuração do firmware e a aplicação do TPM não está mais definida.
|
Resultados
O host
ESXi é executado com a aplicação de inicialização segura ativada ou desativada, dependendo da sua escolha.
Observação:
Se você não ativar um TPM ao instalar ou atualizar para o vSphere 7.0 Update 2 ou posterior, poderá fazê-lo mais tarde com o seguinte comando.
esxcli system settings encryption set --mode=TPM
Depois de ativar o TPM, você não poderá desfazer a configuração.
O comando esxcli system settings encryption set
falha em alguns TPMs, mesmo quando o TPM está ativado para o host.
- No vSphere 7.0 Update 2: TPMs da NationZ (NTZ) e da Infineon Technologies (IFX)
- No vSphere 7.0 Update 3: TPMs da NationZ (NTZ)
Se uma instalação ou atualização do vSphere 7.0 Update 2 ou posterior não puder usar o TPM durante a primeira inicialização, a instalação ou a atualização continuará e o modo será padronizado como NONE (ou seja, --mode=NONE
). O comportamento resultante é como se o TPM não estivesse ativado.