Você pode usar comandos ESXCLI para listar a chave de recuperação de configuração ESXi segura, alternar a chave de recuperação e alterar as políticas do TPM (por exemplo, aplicando a inicialização segura UEFI).
Listar o conteúdo da chave de recuperação de configuração ESXi segura
Você pode usar o ESXCLI para mostrar o conteúdo da chave de recuperação de configuração ESXi segura.
Pré-requisitos
- Ter acesso ao conjunto de comandos ESXCLI. Você pode executar comandos ESXCLI remotamente ou executá-los no Shell ESXi.
- Privilégio necessário para usar a versão independente do ESXCLI ou por meio de PowerCLI:
Procedimento
Resultados
A chave e a ID da chave de recuperação são exibidas.
Exemplo: Listar a chave de recuperação de configuração segura ESXi
[root@host1] esxcli system settings encryption recovery list Recovery ID Key -------------------------------------- --- {2DDD5424-7F3F-406A-8DA8-D62630F6C8BC} 478269-039194-473926-430939-686855-231401-642208-184477-602511 -225586-551660-586542-338394-092578-687140-267425
Girar a chave de recuperação de configuração segura ESXi
Você pode usar o ESXCLI para alternar a chave de recuperação de configuração ESXi segura.
Pré-requisitos
- Ter acesso ao conjunto de comandos ESXCLI. Você pode executar comandos ESXCLI remotamente ou executá-los no Shell ESXi.
- Privilégio necessário para usar a versão independente do ESXCLI ou por meio de PowerCLI:
Procedimento
Resultados
A chave de recuperação agora está definida com o conteúdo da chave referenciada pelo ID da chave, se fornecido. Caso contrário, ESXi fornecerá um novo ID de chave.
Solucionando problemas e recuperando a configuração segura do ESXi
Você pode solucionar e recuperar-se de problemas de inicialização que podem ser encontrados com uma Configuração do ESXi segura.
Se você limpar um TPM (ou seja, os valores de propagação no TPM forem redefinidos), se um TPM falhar ou se você substituir a placa-mãe ou o dispositivo TPM, ou ambos, deverá tomar medidas para recuperar a configuração segura ESXi. Você deve ter a chave de recuperação para recuperar a configuração. Até que você recupere a configuração, o host ESXi não poderá inicializar. Consulte Recuperar a configuração segura do ESXi.
Embora seja incomum, é possível que um host ESXi falhe ao restaurar ou descriptografar a configuração segura, impedindo a inicialização do host. Possíveis situações incluem:
- Alterar para a configuração de inicialização segura (ou outra política)
- Adulteração real
- A chave de recuperação não está disponível
Para solucionar essas condições, consulte o artigo da base de conhecimento VMware em https://kb.vmware.com/kb/81446.
Recuperar a configuração segura do ESXi
Se um TPM falhar, ou se você limpar um TPM, você deverá recuperar a Configuração ESXi segura. Até que você recupere a configuração, o host ESXi não poderá inicializar.
- Você limpou o TPM (ou seja, as sementes no TPM foram redefinidas).
- O TPM falhou.
- Você substituiu a placa-mãe ou o dispositivo TPM, ou ambos.
Para solucionar outros problemas de configuração segura do ESXi, consulte o artigo da base de conhecimento VMware em https://kb.vmware.com/kb/81446.
Execute a recuperação manualmente. Não execute a recuperação como parte de um script de instalação ou atualização.
Pré-requisitos
Procedimento
O que Fazer Depois
Quando você insere a chave de recuperação, ela é exibida temporariamente em um ambiente não confiável e fica na memória. Embora não seja necessário, como prática recomendada, você pode remover vestígios residuais da chave na memória reinicializando o host. Ou você pode girar a chave. Consulte Girar a chave de recuperação de configuração segura ESXi.
Ativar ou desativar a imposição de inicialização segura para uma configuração ESXi segura
Você pode optar por ativar a imposição de inicialização segura UEFI ou desativar uma imposição de inicialização segura UEFI ativada anteriormente. Você deve usar o ESXCLI para alterar a configuração no TPM no host ESXi.
Essa tarefa se aplica apenas a hosts ESXi que têm um TPM. A inicialização segura UEFI é uma configuração de firmware para garantir que o software iniciado pelo firmware seja confiável. A ativação da inicialização segura UEFI pode ser aplicada em cada inicialização usando o TPM.
Pré-requisitos
- Ter acesso ao conjunto de comandos ESXCLI. Você pode executar comandos ESXCLI remotamente ou executá-los no Shell ESXi.
- Privilégio necessário para usar a versão independente do ESXCLI ou por meio de PowerCLI:
Procedimento
Resultados
esxcli system settings encryption set --mode=TPMDepois de ativar o TPM, você não poderá desfazer a configuração.
O comando esxcli system settings encryption set
falha em alguns TPMs, mesmo quando o TPM está ativado para o host.
- No vSphere 7.0 Atualização 2: TPMs da NationZ (NTZ), Infineon Technologies (IFX) e alguns novos modelos (como NPCT75x) da Nuvoton Technologies Corporation (NTC)
- No vSphere 7.0 Atualização 3: TPMs do NationZ (NTZ)
Se uma instalação ou atualização do vSphere 7.0 Update 2 ou posterior não puder usar o TPM durante a primeira inicialização, a instalação ou atualização continuará, e o modo padrão será NONE (ou seja, --mode=NONE
). O comportamento resultante é como se o TPM não estivesse ativado.
Ativar ou desativar a imposição execInstalledOnly para uma configuração ESXi segura
Você pode optar por ativar a imposição execInstalledOnly ou desativar uma imposição execInstalledOnly ativada anteriormente. Você deve usar o ESXCLI para alterar a configuração no TPM no host ESXi. A imposição de inicialização segura UEFI deve ser ativada antes que você possa ativar a imposição execInstalledOnly.
Essa tarefa se aplica apenas a hosts ESXi que têm um TPM. A opção de inicialização avançada ESXi execInstalledOnly, quando definida como TRUE, garante que o VMkernel execute apenas os binários que foram empacotados e assinados como parte de um VIB. A ativação dessa opção de inicialização pode ser aplicada em cada inicialização usando o TPM.
Pré-requisitos
- Para ativar a imposição execInstalledOnly, você deve primeiro ativar a imposição de inicialização segura UEFI. A imposição execInstalledOnly é criada com base na imposição de inicialização segura UEFI. Consulte Ativar ou desativar a imposição de inicialização segura para uma configuração ESXi segura.
- Ter acesso ao conjunto de comandos ESXCLI. Você pode executar comandos ESXCLI remotamente ou executá-los no Shell ESXi.
- Privilégio necessário para usar a versão independente do ESXCLI ou por meio de PowerCLI:
Procedimento
Resultados
O host ESXi é executado com a imposição execInstalledOnly ativada ou desativada, dependendo da sua escolha.