您可以选择启用 UEFI 安全引导实施,也可以禁用以前启用的 UEFI 安全引导实施。必须使用 ESXCLI 在 ESXi 主机上的 TPM 中更改此设置。
此任务仅适用于具有 TPM 的 ESXi 主机。UEFI 安全引导是一种固件设置,可确保由固件启动的软件是可信的。每次引导时都可以使用 TPM 强制启用 UEFI 安全引导。
前提条件
- 有权访问 ESXCLI 命令集。可以远程或在 ESXi Shell 中运行 ESXCLI 命令。
- 具有使用 ESXCLI 独立版本或 PowerCLI 所需的特权:
过程
- 列出 ESXi 主机的当前设置。
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true
如果已启用安全引导实施,“需要安全引导”将显示 true。如果已禁用安全引导实施,“需要安全引导”将显示 false。
如果模式显示为 NONE,您必须在主机的固件中启用 TPM,并通过运行以下命令设置模式:
esxcli system settings encryption set --mode=TPM
- 启用或禁用安全引导实施。
| 选项 |
描述 |
| 启用 |
- 正常关闭主机。
例如,右键单击 vSphere Client 中的 ESXi 主机,然后选择。
- 在主机的固件中启用安全引导。
请参见特定供应商硬件文档。
- 重新启动主机。
- 运行以下 ESXCLI 命令。
esxcli system settings encryption set --require-secure-boot=T
- 验证更改。
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true 确认“需要安全引导”显示 true。
- 要保存设置,请运行以下命令。
/sbin/auto-backup.sh
|
| 禁用 |
- 运行以下 ESXCLI 命令。
esxcli system settings encryption set --require-secure-boot=F
- 验证更改。
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: false 确认“需要安全引导”显示 false。
- 要保存设置,请运行以下命令。
/sbin/auto-backup.sh 您可以选择在主机固件中禁用安全引导,此时不再设置固件设置和 TPM 实施之间的依赖关系。
|
结果
ESXi 主机运行,安全引导实施处于启用还是禁用状态,取决于您的选择。
注:
如果在安装或升级到 vSphere 7.0 Update 2 或更高版本时未激活 TPM,可以稍后使用以下命令进行激活。
esxcli system settings encryption set --mode=TPM
激活 TPM 后,将无法撤消该设置。
即使为主机启用了 TPM,esxcli system settings encryption set 命令也会在某些 TPM 上失败。
- 在 vSphere 7.0 Update 2 中:NationZ (NTZ) 的 TPM、Infineon Technologies (IFX) 的 TPM 以及 Nuvoton Technologies Corporation (NTC) 的某些新型号(例如 NPCT75x)
- vSphere 7.0 Update 3 中:来自 NationZ (NTZ) 的 TPM
如果安装或升级 vSphere 7.0 Update 2 或更高版本在首次引导期间无法使用 TPM,则安装或升级将继续,并且模式默认为“无”(即,--mode=NONE)。由此引发的行为就像未激活 TPM 一样。
