Sie können ESXCLI verwenden, um den Wiederherstellungsschlüssel für die sichere ESXi-Konfiguration zu rotieren.

Diese Aufgabe gilt nur für einen ESXi-Host, der über ein TPM verfügt. Sie können den Wiederherstellungsschlüssel für die sichere ESXi-Konfiguration im Rahmen der Best Practices für die Sicherheit rotieren.

Voraussetzungen

  • Zugriff auf den ESXCLI-Befehlssatz. Sie können ESXCLI-Befehle remote oder in der ESXi-Shell ausführen.
  • Notwendige Berechtigung zur Verwendung der eigenständigen ESXCLI-Version oder über PowerCLI: Host.Config.Settings

Prozedur

  1. Listet den Wiederherstellungsschlüssel auf.
    Weitere Informationen hierzu finden Sie unter Auflisten der Inhalte des Wiederherstellungsschlüssels für die sichere ESXi-Konfiguration.
  2. Führen Sie den folgenden Befehl aus. 
    esxcli system settings encryption recovery rotate [-k keyID] -u uuid

    In diesem Befehl ist die optionale keyID die Schlüssel-ID im VMkernel-Schlüssel-Cache und uuid die Wiederherstellungs-ID (erhalten über den Befehl esxcli system settings encryption recovery list). Wenn Sie die optionale Schlüssel-ID nicht angeben, ersetzt ESXi den alten Wiederherstellungsschlüssel durch einen neuen, der zufällig generiert wird.

Ergebnisse

Der Wiederherstellungsschlüssel ist jetzt auf den Inhalt des Schlüssels festgelegt, auf den die Schlüssel-ID verweist (sofern sie bereitgestellt wurde). Andernfalls stellt ESXi eine neue Schlüssel-ID bereit.