轮换 ESXi 安全配置恢复密钥

可以使用 ESXCLI 轮换 ESXi 安全配置恢复密钥。

此任务仅适用于具有 TPM 的 ESXi 主机。可以作为安全最佳做法的一部分轮换 ESXi 安全配置恢复密钥。

前提条件

有权访问 ESXCLI 命令集。可以远程或在 ESXi Shell 中运行 ESXCLI 命令。
具有使用 ESXCLI 独立版本或 PowerCLI 所需的特权：主机.配置.设置

过程

列出恢复密钥。
请参见列出 ESXi 安全配置恢复密钥的内容。
运行下列命令。
```
esxcli system settings encryption recovery rotate [-k keyID] -u uuid
```
在此命令中，可选的 keyID 是 VMkernel 密钥缓存中的密钥 ID，uuid 是恢复 ID（从 esxcli system settings encryption recovery list 命令获取）。如果不提供可选密钥 ID，ESXi 会将旧恢复密钥替换为随机生成的新恢复密钥。

结果

恢复密钥现在设置为密钥 ID 引用的密钥的内容（如果已提供）。否则，ESXi 提供新的密钥 ID。