必须在主机上启用 ESXi 密钥持久性。默认情况下,不启用该功能。

有关密钥持久性的概念信息,请参见密钥持久性概览

前提条件

启用密钥持久性的要求:

  • ESXi 7.0 Update 2 或更高版本
  • ESXi 主机安装了 TPM 2.0
  • 有权访问 ESXCLI 命令集。可以远程或在 ESXi Shell 上运行 ESXCLI 命令。
注: 使用 vSphere Native Key Provider 时,不需要密钥持久性。vSphere Native Key Provider 设计为即时可用,无需访问密钥服务器即可运行。

为了进一步提高安全性,TPM 还可以使用封装策略防止在 ESXi 主机引导期间发生篡改。请参见TPM 封装策略概览

过程

  1. ESXi 主机上,使用 SSH 或其他远程控制台连接启动会话。
  2. 以 root 用户身份登录。
  3. 启用或禁用密钥持久性。
    1. 要启用密钥持久性,请执行以下操作:
      esxcli system security keypersistence enable
    2. 要禁用密钥持久性,请执行以下操作:
      esxcli system security keypersistence disable --remove-all-stored-keys