执行加密任务需要密钥提供程序。您可以使用 vSphere ClientvCenter Server 上配置 vSphere Native Key Provider。

vSphere 7.0 Update 2 及更高版本包含名为 vSphere Native Key Provider 的密钥提供程序。vSphere Native Key Provider 无需外部密钥服务器 (KMS),即可启用加密相关的功能。vCenter Server 最初并未配置 vSphere Native Key Provider。因此,您必须手动配置 vSphere Native Key Provider。

ESXi 主机无需 TPM 2.0 即可使用 vSphere Native Key Provider。但是,TPM 2.0 确实会提高安全性。

注: 配置 vSphere Native Key Provider 时,密钥提供程序在配置了它们的 vCenter Server 的所有集群上均可用。因此,连接到 vCenter Server 的所有主机均可访问您配置的所有 vSphere Native Key Provider。

前提条件

所需特权:加密操作.管理密钥服务器

过程

  1. 使用 vSphere Client 登录到 vCenter Server 系统。
  2. 浏览清单列表,然后选择 vCenter Server 实例。
  3. 单击配置,然后在安全下单击密钥提供程序
  4. 单击添加,然后单击添加本机密钥提供程序
  5. 输入 vSphere Native Key Provider 的名称。

    每个逻辑密钥提供程序(无论其类型如何:标准、可信和本机密钥提供程序),都必须在所有 vCenter Server 系统中具有唯一的名称。

    有关详细信息,请参见密钥提供程序命名

  6. 如果希望此 vSphere Native Key Provider 仅由具有 TPM 2.0 的主机使用,请选中仅对受 TPM 保护的 ESXi 主机使用密钥提供程序复选框。
    启用此复选框后,vSphere Native Key Provider 仅在具有 TPM 2.0 的主机上可用。
  7. 单击添加密钥提供程序
    注: 数据中心内的所有集群 ESXi 主机获取密钥提供程序和 vCenter Server 更新缓存大约需要五分钟。由于信息传播的方式,您可能需要等待几分钟后,才能使用密钥提供程序在某些主机上执行密钥操作。

结果

vSphere Native Key Provider 已添加,并显示在密钥提供程序窗格中。此时尚未备份 vSphere Native Key Provider。您必须先备份 vSphere Native Key Provider,然后才能使用它。

下一步做什么

请参见备份 vSphere Native Key Provider