ESXi 8.0 及更高版本中,ESXi 熵实施支持 FIPS 140-3 和 EAL4 认证。内核引导选项控制要在 ESXi 主机上激活哪些熵源。

在计算中,“熵”这个术语是指收集用于加密的随机字符和数据,例如生成加密密钥以保护通过网络传输的数据。在生成密钥并通过网络安全通信时,需要熵来确保安全。熵通常是从系统的各种源收集的。

如果满足以下条件,那么 FIPS 熵处理就是默认行为。

  1. 硬件支持 RDSEED。
  2. disableHwrng VMkernel 引导选项不存在或为 FALSE。
  3. entropySources VMkernel 引导选项不存在、为 0(零)或为 4。
警告:ESXi 主机配置仅用于外部熵的 entropySources(即 entropySources 设置为 8)时,必须继续使用熵 API 向主机提供外部熵。如果主机中的熵耗尽,则主机将无响应。要从这种情况中恢复,请重新引导主机。如果主机仍然无响应,则必须重新安装 ESXi

ESXi 8.0 Update 1 开始,可以在 kickstart 文件中配置外部熵源以进行脚本式安装。通过使用脚本式安装方法,可以在高度安全的环境中配置 ESXi 以使用外部熵源(例如硬件安全模块 (HSM))中的熵,并符合 BSI 通用准则、EAL4 和 NIST FIPS CMVP 等标准。有关配置外部熵源的详细信息,请参见《VMware ESXi 安装和设置》文档。

可以使用以下 VMkernel 引导选项配置 ESXi Entropy 子系统:

表 1. ESXi Entropy VMkernel 引导选项
VMkernel 引导选项 选项类型 描述 默认值
disableHwrng(在 vSphere 8.0 之前可用) 布尔 设置为 TRUE(覆盖“entropySources”)时停用 RDRAND 和 RDSEED 熵源。 FALSE

激活硬件随机数生成器熵源(如果存在)。
entropySources(从 vSphere 8.0 开始可用) 整数,位掩码 指定要激活的熵源。
  • 0(默认)

位掩码值:

  • 1=中断
  • 2=RDRAND
  • 4=RDSEED
  • 8=entropy(激活 EAL4 熵处理)
指定 entropySources=9 会激活中断和用户空间熵源,并停用 RDRAND 和 RDSEED 熵源。		 0(零)

如果支持 RDSEED,则默认为 FIPS 合规性。否则,默认为 entropyd 以外的所有熵源。
注: 在做出更改以便仅使用 RDRAND、RDSEED 或两个熵源之前,请查看供应商文档,确保 ESXi 主机支持这些配置。如果主机不支持这些配置, vCenter Server 会向您发送警示,并且主机重新使用中断和用户空间熵源。

前提条件

您必须在 ESXi 主机上具有根访问权限。

过程

  1. ESXi 主机上,使用 SSH 或其他远程控制台连接启动会话。
  2. 以 root 用户身份登录。
  3. 设置所需的熵 VMkernel 引导选项。
    1. 要为 disableHwrng 停用 RDRAND 和 RDSEED 熵源,请执行以下操作: 
      esxcli system settings kernel set -s disableHwrng -v TRUE
    2. 要设置熵源,请执行以下操作: 
      esxcli system settings kernel set -s entropySources -v entropy_source_value
      有关可为 entropySources 设置的值,请参见上表。