Você pode usar comandos ESXCLI para listar a chave de recuperação de configuração ESXi segura, alternar a chave de recuperação e alterar as políticas do TPM (por exemplo, aplicando a inicialização segura UEFI).

Listar o conteúdo da chave de recuperação de configuração ESXi segura

Você pode usar o ESXCLI para mostrar o conteúdo da chave de recuperação de configuração ESXi segura.

Essa tarefa se aplica apenas a um host ESXi que tenha um TPM. Em geral, você lista o conteúdo da chave de recuperação de configuração ESXi segura para criar um backup ou como parte da rotação das chaves de recuperação.

Pré-requisitos

  • Ter acesso ao conjunto de comandos ESXCLI. Você pode executar comandos ESXCLI remotamente ou executá-los no Shell ESXi.
  • Privilégio necessário para usar a versão independente do ESXCLI ou por meio de PowerCLI: Host.Config.Settings

Procedimento

  1. Execute o seguinte comando no host ESXi. 
    esxcli system settings encryption recovery list
  2. Salve a saída em um local remoto seguro como backup, caso você precise recuperar a configuração segura.

Resultados

A chave e a ID da chave de recuperação são exibidas.

Exemplo: Listar a chave de recuperação de configuração segura ESXi

[root@host1] esxcli system settings encryption recovery list

Recovery ID                             Key
--------------------------------------  ---
{2DDD5424-7F3F-406A-8DA8-D62630F6C8BC}  478269-039194-473926-430939-686855-231401-642208-184477-602511
-225586-551660-586542-338394-092578-687140-267425

Girar a chave de recuperação de configuração segura ESXi

Você pode usar o ESXCLI para alternar a chave de recuperação de configuração ESXi segura.

Essa tarefa se aplica apenas a um host ESXi que tenha um TPM. Você pode alternar a chave de recuperação de configuração segura ESXi como parte das suas práticas recomendadas de segurança.

Pré-requisitos

  • Ter acesso ao conjunto de comandos ESXCLI. Você pode executar comandos ESXCLI remotamente ou executá-los no Shell ESXi.
  • Privilégio necessário para usar a versão independente do ESXCLI ou por meio de PowerCLI: Host.Config.Settings

Procedimento

  1. Liste a chave de recuperação.
    Consulte Listar o conteúdo da chave de recuperação de configuração ESXi segura.
  2. Execute o seguinte comando. 
    esxcli system settings encryption recovery rotate [-k keyID] -u uuid

    Nesse comando, o opcional keyID é o ID da chave no cache de chaves do VMkernel e uuid é o ID de recuperação (obtido do comando esxcli system settings encryption recovery list). Se você não fornecer a ID de chave opcional, ESXi substituirá a chave de recuperação antiga por uma nova chave de recuperação gerada aleatoriamente.

Resultados

A chave de recuperação agora está definida com o conteúdo da chave referenciada pelo ID da chave, se fornecido. Caso contrário, ESXi fornecerá um novo ID de chave.

Solucionando problemas e recuperando a configuração segura do ESXi

Você pode solucionar e recuperar-se de problemas de inicialização que podem ser encontrados com uma Configuração do ESXi segura.

Se você limpar um TPM (ou seja, os valores de propagação no TPM forem redefinidos), se um TPM falhar ou se você substituir a placa-mãe ou o dispositivo TPM, ou ambos, deverá tomar medidas para recuperar a configuração segura ESXi. Você deve ter a chave de recuperação para recuperar a configuração. Até que você recupere a configuração, o host ESXi não poderá inicializar. Consulte Recuperar a configuração segura do ESXi.

Embora seja incomum, é possível que um host ESXi falhe ao restaurar ou descriptografar a configuração segura, impedindo a inicialização do host. Possíveis situações incluem:

  • Alterar para a configuração de inicialização segura (ou outra política)
  • Adulteração real
  • A chave de recuperação não está disponível

Para solucionar essas condições, consulte o artigo da base de conhecimento VMware em https://kb.vmware.com/kb/81446.

Recuperar a configuração segura do ESXi

Se um TPM falhar, ou se você limpar um TPM, você deverá recuperar a Configuração ESXi segura. Até que você recupere a configuração, o host ESXi não poderá inicializar.

A recuperação da configuração segura do ESXi refere-se às seguintes situações:
  • Você limpou o TPM (ou seja, as sementes no TPM foram redefinidas).
  • O TPM falhou.
  • Você substituiu a placa-mãe ou o dispositivo TPM, ou ambos.

Para solucionar outros problemas de configuração segura do ESXi, consulte o artigo da base de conhecimento VMware em https://kb.vmware.com/kb/81446.

Execute a recuperação manualmente. Não execute a recuperação como parte de um script de instalação ou atualização.

Pré-requisitos

Obtenha sua chave de recuperação. Você deve ter listado e armazenado a chave de recuperação anteriormente. Consulte Listar o conteúdo da chave de recuperação de configuração ESXi segura.

Procedimento

  1. (Opcional) Se o TPM falhar, mova o disco (com o banco de inicialização) para outro host com um TPM.
  2. Inicie o host ESXi.
  3. Quando a janela do instalador ESXi for exibida, pressione Shift+O para editar as opções de inicialização.
  4. Para recuperar a configuração, no prompt de comando, anexe a seguinte opção de inicialização a qualquer opção de inicialização existente. 
    encryptionRecoveryKey=recovery_key
    A configuração segura do ESXi é recuperada e o host ESXi é inicializado.
  5. Para persistir a alteração, digite o seguinte comando: 
    /sbin/auto-backup.sh

O que Fazer Depois

Quando você insere a chave de recuperação, ela é exibida temporariamente em um ambiente não confiável e fica na memória. Embora não seja necessário, como prática recomendada, você pode remover vestígios residuais da chave na memória reinicializando o host. Ou você pode girar a chave. Consulte Girar a chave de recuperação de configuração segura ESXi.

Ativar ou desativar a imposição de inicialização segura para uma configuração ESXi segura

Você pode optar por ativar a imposição de inicialização segura UEFI ou desativar uma imposição de inicialização segura UEFI ativada anteriormente. Você deve usar o ESXCLI para alterar a configuração no TPM no host ESXi.

Essa tarefa se aplica apenas a hosts ESXi que têm um TPM. A inicialização segura UEFI é uma configuração de firmware para garantir que o software iniciado pelo firmware seja confiável. A ativação da inicialização segura UEFI pode ser aplicada em cada inicialização usando o TPM.

Pré-requisitos

  • Ter acesso ao conjunto de comandos ESXCLI. Você pode executar comandos ESXCLI remotamente ou executá-los no Shell ESXi.
  • Privilégio necessário para usar a versão independente do ESXCLI ou por meio de PowerCLI: Host.Config.Settings

Procedimento

  1. Liste as configurações atuais no host ESXi. 
    esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
    Se a imposição de inicialização segura estiver ativada, Exigir Inicialização Segura exibirá true. Se a imposição de inicialização segura estiver desativada, Exigir Inicialização Segura exibe false.
    Se Mode aparecer como NONE, você deverá ativar o TPM no firmware do host e definir o modo executando o seguinte comando: 
    esxcli system settings encryption set --mode=TPM
  2. Ative ou desative a imposição de inicialização segura.
    Opção Descrição
    Ativar
    1. Desligue o host normalmente.

      Por exemplo, clique com o botão direito do mouse no host ESXi no vSphere Client e selecione Power > Shut Down.

    2. Ative a inicialização segura no firmware do host.

      Consulte a documentação de hardware do seu fornecedor específico.

    3. Reinicie o host.
    4. Execute o seguinte comando ESXCLI.
      esxcli system settings encryption set --require-secure-boot=T
    5. Verifique a alteração.
      esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true

      Confirme se a inicialização segura necessária exibe true.

    6. Para salvar a configuração, execute o seguinte comando.
      /sbin/auto-backup.sh
    Desativar
    1. Execute o seguinte comando ESXCLI.
      esxcli system settings encryption set --require-secure-boot=F
    2. Verifique a alteração.
      esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: false

      Confirme se Exigir Inicialização Segura exibe false.

    3. Para salvar a configuração, execute o seguinte comando.
      /sbin/auto-backup.sh

      Você pode optar por desativar a inicialização segura no firmware do host, mas, neste momento, a dependência entre a configuração do firmware e a imposição do TPM não está mais definida.

Resultados

O host ESXi é executado com a imposição de inicialização segura ativada ou desativada, dependendo da sua escolha.
Observação:
Se você não ativar um TPM ao instalar ou atualizar para o vSphere 7.0 Update 2 ou posterior, poderá fazer isso posteriormente com o seguinte comando. 
esxcli system settings encryption set --mode=TPM
Depois de ativar o TPM, você não poderá desfazer a configuração.

O comando esxcli system settings encryption set falha em alguns TPMs, mesmo quando o TPM está ativado para o host.

  • No vSphere 7.0 Atualização 2: TPMs da NationZ (NTZ), Infineon Technologies (IFX) e alguns novos modelos (como NPCT75x) da Nuvoton Technologies Corporation (NTC)
  • No vSphere 7.0 Atualização 3: TPMs do NationZ (NTZ)

Se uma instalação ou atualização do vSphere 7.0 Update 2 ou posterior não puder usar o TPM durante a primeira inicialização, a instalação ou atualização continuará, e o modo padrão será NONE (ou seja, --mode=NONE). O comportamento resultante é como se o TPM não estivesse ativado.

Ativar ou desativar a imposição execInstalledOnly para uma configuração ESXi segura

Você pode optar por ativar a imposição execInstalledOnly ou desativar uma imposição execInstalledOnly ativada anteriormente. Você deve usar o ESXCLI para alterar a configuração no TPM no host ESXi. A imposição de inicialização segura UEFI deve ser ativada antes que você possa ativar a imposição execInstalledOnly.

Essa tarefa se aplica apenas a hosts ESXi que têm um TPM. A opção de inicialização avançada ESXi execInstalledOnly, quando definida como TRUE, garante que o VMkernel execute apenas os binários que foram empacotados e assinados como parte de um VIB. A ativação dessa opção de inicialização pode ser aplicada em cada inicialização usando o TPM.

Pré-requisitos

  • Para ativar a imposição execInstalledOnly, você deve primeiro ativar a imposição de inicialização segura UEFI. A imposição execInstalledOnly é criada com base na imposição de inicialização segura UEFI. Consulte Ativar ou desativar a imposição de inicialização segura para uma configuração ESXi segura.
  • Ter acesso ao conjunto de comandos ESXCLI. Você pode executar comandos ESXCLI remotamente ou executá-los no Shell ESXi.
  • Privilégio necessário para usar a versão independente do ESXCLI ou por meio de PowerCLI: Host.Config.Settings

Procedimento

  1. Liste as configurações atuais no host ESXi. 
    esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
    Se a imposição execInstalledOnly estiver ativada, Exigir executáveis somente dos VIBs instalados exibirá true. Se a imposição execInstalledOnly estiver desativada, Exigir executáveis somente dos VIBs instalados exibirá false. Para ativar a imposição execInstalledOnly, a imposição de inicialização segura deve ser ativada, e Exigir Inicialização Segura exibe true nesse caso.
    Se Mode aparecer como NONE, você deverá habilitar o TPM no firmware do host e definir o modo executando o seguinte comando: 
    esxcli system settings encryption set --mode=TPM
    Além disso, se Exigir inicialização segura for exibido como Falso, consulte Ativar ou desativar a imposição de inicialização segura para uma configuração ESXi segura para ativar a imposição.
  2. Ative ou desative a imposição execInstalledOnly.
    Opção Descrição
    Ativar
    1. Verifique se a opção de inicialização segura está ativada.
      esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true

      Confirme se Exigir Inicialização Segura exibe true. Caso contrário, consulte Ativar ou desativar a imposição de inicialização segura para uma configuração ESXi segura.

    2. Para configurar o valor do tempo de execução da opção de inicialização execInstalledOnly como TRUE, execute o seguinte comando ESXCLI.
      esxcli system settings kernel set -s execInstalledOnly -v TRUE
    3. Desligue o host normalmente.

      Por exemplo, clique com o botão direito do mouse no host ESXi no vSphere Client e selecione Power > Shut Down.

    4. Reinicie o host.
    5. Para definir a imposição execInstalledOnly, execute o seguinte comando ESXCLI.
      esxcli system settings encryption set --require-exec-installed-only=T
    6. Verifique a alteração.
      esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: true
   Require Secure Boot: true

      Confirme se Exigir executáveis apenas dos VIBs instalados exibe true.

    7. Para salvar a configuração, execute o seguinte comando.
      /sbin/auto-backup.sh
    Desativar
    1. Execute o seguinte comando ESXCLI.
      esxcli system settings encryption set --require-exec-installed-only=F
    2. Verifique a alteração.
      esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true

      Confirme se Exigir executáveis apenas dos VIBs instalados exibe falso.

    3. Para salvar a configuração, execute o seguinte comando.
      /sbin/auto-backup.sh

      O TPM não impõe mais a opção de inicialização execInstalledOnly.

Resultados

O host ESXi é executado com a imposição execInstalledOnly ativada ou desativada, dependendo da sua escolha.