ESXi 主机可以使用可信平台模块 (Trusted Platform Module, TPM) 芯片,该模块是安全的密码处理器,通过提供植根于硬件(而不是软件)的信任保证来增强主机安全性。

什么是 TPM

TPM 是安全密码处理器的行业标准。如今的大多数计算机(从笔记本电脑到台式机、再到服务器)中都含 TPM 芯片。vSphere 6.7 及更高版本支持 TPM 2.0 版本。

TPM 2.0 芯片证明主机的 ESXi 身份。主机证明是在给定时间点对主机软件状态进行身份验证和证明的过程。UEFI 安全引导可确保在引导时只加载签名软件,这是成功证明的一项要求。TPM 2.0 芯片将记录并安全存储系统中引导的软件模块的测量数据,vCenter Server 将远程验证这些测量数据。

远程证明过程的概要步骤为:

  1. 建立远程 TPM 的可信赖度并在其上创建证明密钥 (Attestation Key, AK)。

    ESXi 主机添加到 vCenter Server、从中重新引导 ESXi 主机或重新连接到 vCenter Server 时,vCenter Server 将从主机请求 AK。AK 创建过程的一部分还涉及到 TPM 硬件本身的验证,以确保已知(且可信)的供应商生成该 TPM 硬件。

  2. 从主机检索证明报告。

    vCenter Server 请求主机发送证明报告,其中包含由 TPM 签名的平台配置寄存器 (Platform Configuration Register, PCR) 证言,以及其他签名的主机二进制元数据。通过检查与其认为可信的配置相对应的信息,vCenter Server 将在先前不可信的主机上标识平台。

  3. 验证主机的真实性。

    vCenter Server 会验证签名证言的真实性,推断软件版本并确定所述软件版本的可信赖度。如果 vCenter Server 确定签名证言无效,则远程证明失败,该主机不可信。

使用 TPM 对 vSphere 有哪些要求

要使用 TPM 2.0 芯片,vCenter Server 环境必须满足以下要求:

  • vCenter Server 6.7 或更高版本
  • 在 UEFI 中安装有 TPM 2.0 芯片并启用的 ESXi 6.7 主机或更高版本
  • 已启用 UEFI 安全引导

确保在 ESXi 主机的 BIOS 中配置了 TPM,以使用 SHA-256 哈希算法和 TIS/FIFO(先进先出)接口,而不是 CRB(命令响应缓冲区)。有关设置这些所需 BIOS 选项的信息,请参阅供应商文档。

在以下位置查看由 VMware 认证的 TPM 2.0 芯片:

https://www.vmware.com/resources/compatibility/search.php

使用 TPM 引导主机时会发生什么情况

引导安装有 TPM 2.0 芯片的 ESXi 主机时,vCenter Server 将监控主机的证明状态。要查看硬件信任状态,请在 vSphere Client 中选择 vCenter Server,然后选择监控下的摘要选项卡。硬件信任状态有以下几种:

  • 绿色:正常状态,指示完全信任。
  • 红色:证明失败。
注: 如果将 TPM 2.0 芯片添加到 vCenter Server 已管理的 ESXi 主机,则必须先将主机断开连接,然后再将其重新连接。有关断开连接并重新连接主机的信息,请参见 《vCenter Server 和主机管理》 文档。

对于 vSphere 7.0 及更高版本,VMware® vSphere Trust Authority™ 为 ESXi 主机使用远程证明功能。请参见什么是 vSphere Trust Authority 证明服务

查看 ESXi 主机认证状态

ESXi 添加到主机时,可信任平台模块 2.0 兼容芯片将认证平台的完整性。可以在 vSphere Client 中查看主机的认证状态。还可以查看 Intel 可信执行技术 (TXT) 状态。

过程

  1. 使用 vSphere Client 连接到 vCenter Server
  2. 导航到数据中心,然后单击监控选项卡。
  3. 单击安全
  4. 在“认证”列中查看主机的状态,并阅读消息列中的消息。
  5. 如果此主机是受信任主机,请参见查看受信任集群证明状态,了解详细信息。

下一步做什么

有关“失败”或“警告”的认证状态,请参见对 ESXi 主机认证问题进行故障排除。有关受信任主机,请参见对受信任主机认证问题进行故障排除

ESXi 主机认证问题进行故障排除

ESXi 主机上安装可信平台模块 (TPM) 设备时,主机可能无法通过认证。您可以对此问题的潜在原因进行故障排除。

过程

  1. 查看 ESXi 主机警报状态以及随附的错误消息。请参见查看 ESXi 主机认证状态
  2. 如果错误消息为主机安全引导已禁用,您必须重新启用安全引导才能解决该问题。
  3. 如果主机的证明状态为失败,请检查 vCenter Server vpxd.log 文件是否存在以下消息:
    No cached identity key, loading from DB
    此消息表明您要将 TPM 2.0 芯片添加到 vCenter Server 已管理的 ESXi 主机。您必须先将主机断开连接,然后再将其重新连接。有关断开连接并重新连接主机的信息,请参见 《vCenter Server 和主机管理》文档。
    有关 vCenter Server 日志文件的详细信息(包括位置和日志轮换),请参见 https://kb.vmware.com/s/article/1021804 中的 VMware 知识库文章。
  4. 有关所有其他错误消息,请联系“客户支持部门”。