ESXi 主机可以使用可信平台模块 (Trusted Platform Module, TPM) 芯片,该模块是安全的密码处理器,通过提供植根于硬件(而不是软件)的信任保证来增强主机安全性。
什么是 TPM
TPM 是安全密码处理器的行业标准。如今的大多数计算机(从笔记本电脑到台式机、再到服务器)中都含 TPM 芯片。vSphere 6.7 及更高版本支持 TPM 2.0 版本。
TPM 2.0 芯片证明主机的 ESXi 身份。主机证明是在给定时间点对主机软件状态进行身份验证和证明的过程。UEFI 安全引导可确保在引导时只加载签名软件,这是成功证明的一项要求。TPM 2.0 芯片将记录并安全存储系统中引导的软件模块的测量数据,vCenter Server 将远程验证这些测量数据。
远程证明过程的概要步骤为:
- 建立远程 TPM 的可信赖度并在其上创建证明密钥 (Attestation Key, AK)。
将 ESXi 主机添加到 vCenter Server、从中重新引导 ESXi 主机或重新连接到 vCenter Server 时,vCenter Server 将从主机请求 AK。AK 创建过程的一部分还涉及到 TPM 硬件本身的验证,以确保已知(且可信)的供应商生成该 TPM 硬件。
- 从主机检索证明报告。
vCenter Server 请求主机发送证明报告,其中包含由 TPM 签名的平台配置寄存器 (Platform Configuration Register, PCR) 证言,以及其他签名的主机二进制元数据。通过检查与其认为可信的配置相对应的信息,vCenter Server 将在先前不可信的主机上标识平台。
- 验证主机的真实性。
vCenter Server 会验证签名证言的真实性,推断软件版本并确定所述软件版本的可信赖度。如果 vCenter Server 确定签名证言无效,则远程证明失败,该主机不可信。
使用 TPM 对 vSphere 有哪些要求
要使用 TPM 2.0 芯片,vCenter Server 环境必须满足以下要求:
- vCenter Server 6.7 或更高版本
- 在 UEFI 中安装有 TPM 2.0 芯片并启用的 ESXi 6.7 主机或更高版本
- 已启用 UEFI 安全引导
确保在 ESXi 主机的 BIOS 中配置了 TPM,以使用 SHA-256 哈希算法和 TIS/FIFO(先进先出)接口,而不是 CRB(命令响应缓冲区)。有关设置这些所需 BIOS 选项的信息,请参阅供应商文档。
在以下位置查看由 VMware 认证的 TPM 2.0 芯片:
使用 TPM 引导主机时会发生什么情况
引导安装有 TPM 2.0 芯片的 ESXi 主机时,vCenter Server 将监控主机的证明状态。要查看硬件信任状态,请在 vSphere Client 中选择 vCenter Server,然后选择监控下的摘要选项卡。硬件信任状态有以下几种:
- 绿色:正常状态,指示完全信任。
- 红色:证明失败。
对于 vSphere 7.0 及更高版本,VMware® vSphere Trust Authority™ 为 ESXi 主机使用远程证明功能。请参见什么是 vSphere Trust Authority 证明服务。
查看 ESXi 主机认证状态
将 ESXi 添加到主机时,可信任平台模块 2.0 兼容芯片将认证平台的完整性。可以在 vSphere Client 中查看主机的认证状态。还可以查看 Intel 可信执行技术 (TXT) 状态。
过程
- 使用 vSphere Client 连接到 vCenter Server。
- 导航到数据中心,然后单击监控选项卡。
- 单击安全。
- 在“认证”列中查看主机的状态,并阅读消息列中的消息。
- 如果此主机是受信任主机,请参见查看受信任集群证明状态,了解详细信息。
下一步做什么
有关“失败”或“警告”的认证状态,请参见对 ESXi 主机认证问题进行故障排除。有关受信任主机,请参见对受信任主机认证问题进行故障排除。
对 ESXi 主机认证问题进行故障排除
在 ESXi 主机上安装可信平台模块 (TPM) 设备时,主机可能无法通过认证。您可以对此问题的潜在原因进行故障排除。
