必须在 ESXi 主机上激活密钥持久性。默认情况下,未激活此功能。

有关密钥持久性的概念信息,请参见ESXi 主机上的 vSphere 密钥持久性

前提条件

激活密钥持久性的要求:

  • ESXi 7.0 Update 2 或更高版本
  • ESXi 主机安装了 TPM 2.0
  • 有权访问 ESXCLI 命令集。可以远程或在 ESXi Shell 上运行 ESXCLI 命令。
注: 使用 vSphere Native Key Provider 时,不需要密钥持久性。vSphere Native Key Provider 设计为即时可用,无需访问密钥服务器即可运行。

为了进一步提高安全性,TPM 还可以使用封装策略防止在 ESXi 主机引导期间发生篡改。请参见什么是 TPM 封装策略

过程

  1. 使用 SSH 或其他远程控制台连接在 ESXi 主机上启动会话。
  2. 以 root 用户身份登录。
  3. 确认 ESXi 主机处于 TPM 模式。 
    esxcli system settings encryption get
    如果模式显示为 NONE,您必须在主机的固件中启用 TPM,并通过运行以下命令设置模式。 
    esxcli system settings encryption set --mode=TPM
  4. 激活或停用密钥持久性。
    1. 要激活密钥持久性,请执行以下操作: 
      esxcli system security keypersistence enable
    2. 要停用持久性,请执行以下操作: 
      esxcli system security keypersistence disable --remove-all-stored-keys