Você pode optar por ativar a aplicação de inicialização segura de UEFI ou desativar uma aplicação de inicialização segura de UEFI ativada anteriormente. Você deve usar o ESXCLI para alterar a configuração no TPM no host ESXi.

Esta tarefa aplica-se apenas a ESXi hosts que têm um TPM. A inicialização segura da UEFI é uma configuração de firmware para garantir que o software iniciado pelo firmware seja confiável. A ativação da inicialização segura da UEFI pode ser aplicada a cada inicialização usando o TPM.

Pré-requisitos

  • Ter acesso ao conjunto de comandos ESXCLI. Você pode executar comandos ESXCLI remotamente ou executá-los no Shell do ESXi.
  • Privilégio necessário para usar a versão autônoma do ESXCLI ou por meio de PowerCLI: Host . Config . Settings

Procedimento

  1. Liste as configurações atuais no host ESXi.
    esxcli system settings encryption get
       Mode: TPM
       Require Executables Only From Installed VIBs: false
       Require Secure Boot: true
    Se a aplicação de inicialização segura estiver ativada, Exigir Inicialização Segura exibirá true. Se a aplicação de inicialização segura estiver desativada, a opção Exigir Inicialização Segura exibirá falso.
  2. Ative ou desative a aplicação de inicialização segura.
    Opção Descrição
    Ativar
    1. Desligue o host normalmente.

      Por exemplo, clique com o botão direito do mouse no host ESXi em vSphere Client e selecione Power (Power) > Shut Down (Shut Down).

    2. Ative a inicialização segura no firmware do host.

      Consulte a documentação do hardware do seu fornecedor específico.

    3. Reinicie o host.
    4. Execute o seguinte comando ESXCLI.
      esxcli system settings encryption set --require-secure-boot=T
    5. Verifique a alteração.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: true

      Confirme que a inicialização segura necessária exibe true.

    6. Para salvar a configuração, execute o seguinte comando.
      /sbin/auto-backup.sh
    Desabilitar
    1. Execute o seguinte comando ESXCLI.
      esxcli system settings encryption set --require-secure-boot=F
    2. Verifique a alteração.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: false

      Confirme que Exigir Inicialização Segura exibe false.

    3. Para salvar a configuração, execute o seguinte comando.
      /sbin/auto-backup.sh

      Você pode optar por desativar a inicialização segura no firmware do host, mas, neste ponto, a dependência entre a configuração do firmware e a aplicação do TPM não está mais definida.

Resultados

O host ESXi é executado com a aplicação de inicialização segura ativada ou desativada, dependendo da sua escolha.
Observação:
Se você não ativar um TPM ao instalar ou atualizar para o vSphere 7.0 Update 2 ou posterior, poderá fazê-lo mais tarde com o seguinte comando.
esxcli system settings encryption set --mode=TPM
Depois de ativar o TPM, você não poderá desfazer a configuração.

O comando esxcli system settings encryption set falha em alguns TPMs, mesmo quando o TPM está ativado para o host.

  • No vSphere 7.0 Update 2: TPMs da NationZ (NTZ) e da Infineon Technologies (IFX)
  • No vSphere 7.0 Update 3: TPMs da NationZ (NTZ)

Se uma instalação ou atualização do vSphere 7.0 Update 2 ou posterior não puder usar o TPM durante a primeira inicialização, a instalação ou a atualização continuará e o modo será padronizado como NONE (ou seja, --mode=NONE). O comportamento resultante é como se o TPM não estivesse ativado.