Sie können UEFI Secure Boot-Erzwingung aktivieren oder eine zuvor aktivierte UEFI Secure Boot-Erzwingung deaktivieren. Sie müssen ESXCLI verwenden, um die Einstellung im TPM auf dem ESXi-Host zu ändern.

Diese Aufgabe gilt nur für ESXi-Hosts, die über ein TPM verfügen. Bei UEFI Secure Boot handelt es sich um eine Firmware-Einstellung, mit der sichergestellt wird, dass die von der Firmware gestartete Software vertrauenswürdig ist. Die Aktivierung von UEFI Secure Boot kann bei jedem Start mithilfe des TPM erzwungen werden.

Voraussetzungen

  • Zugriff auf den ESXCLI-Befehlssatz. Sie können ESXCLI-Befehle remote oder in der ESXi-Shell ausführen.
  • Notwendige Berechtigung zur Verwendung der eigenständigen ESXCLI-Version oder über PowerCLI: Host.Config.Settings

Prozedur

  1. Listen Sie die aktuellen Einstellungen auf dem ESXi-Host auf.
    esxcli system settings encryption get
       Mode: TPM
       Require Executables Only From Installed VIBs: false
       Require Secure Boot: true
    Bei aktivierter Secure Boot-Erzwingung wird „True“ für „Secure Boot anfordern“ angezeigt. Bei deaktivierter Secure Boot-Erzwingung wird „False“ für „Secure Boot anfordern“ angezeigt.
    Wenn als Modus KEINE angezeigt wird, müssen Sie das TPM in der Firmware des Hosts aktivieren und den Modus durch Ausführen des folgenden Befehls festlegen:
    esxcli system settings encryption set --mode=TPM
  2. Aktivieren oder deaktivieren Sie Secure Boot-Erzwingung.
    Option Beschreibung
    Aktivieren
    1. Fahren Sie den Host ordnungsgemäß herunter.

      Beispiel: Klicken Sie mit der rechten Maustaste auf den ESXi-Host im vSphere Client und wählen Sie Betrieb > Herunterfahren aus.

    2. Aktivieren Sie „Secure Boot“ in der Firmware des Hosts.

      Weitere Informationen finden Sie in der Hardwaredokumentation Ihres Anbieters.

    3. Starten Sie den Host neu.
    4. Führen Sie den folgenden ESXCLI-Befehl aus.
      esxcli system settings encryption set --require-secure-boot=T
    5. Überprüfen Sie die Änderung.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: true

      Bestätigen Sie, dass „True“ für „Secure Boot anfordern“ angezeigt wird.

    6. Führen Sie zum Speichern der Einstellung folgenden Befehl aus:
      /sbin/auto-backup.sh
    Deaktivieren
    1. Führen Sie den folgenden ESXCLI-Befehl aus.
      esxcli system settings encryption set --require-secure-boot=F
    2. Überprüfen Sie die Änderung.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: false

      Bestätigen Sie, dass „False“ für „Secure Boot anfordern“ angezeigt wird.

    3. Führen Sie zum Speichern der Einstellung folgenden Befehl aus:
      /sbin/auto-backup.sh

      Sie können „Secure Boot“ in der Firmware des Hosts deaktivieren. Zum gegenwärtigen Zeitpunkt besteht die Abhängigkeit zwischen der Firmware-Einstellung und der TPM-Erzwingung jedoch nicht mehr.

Ergebnisse

Der ESXi-Host wird je nach Benutzerauswahl mit aktivierter oder deaktivierter Secure Boot-Erzwingung ausgeführt.
Hinweis:
Wenn Sie bei der Installation von oder beim Upgrade auf vSphere 7.0 Update 2 oder höher kein TPM aktivieren, ist dies zu einem späteren Zeitpunkt mithilfe des folgenden Befehls möglich.
esxcli system settings encryption set --mode=TPM
Nach Aktivierung des TPM können Sie die Einstellung nicht mehr rückgängig machen.

Der Befehl esxcli system settings encryption set schlägt auf manchen TPMs selbst dann fehl, wenn das jeweilige TPM für den Host aktiviert ist.

  • In vSphere 7.0 Update 2: TPMs von NationZ (NTZ), Infineon Technologies (IFX) und bestimmte neue Modelle (wie NPCT75x) von Nuvoton Technologies Corporation (NTC)
  • In vSphere 7.0 Update 3: TPMs von NationZ (NTZ)

Wenn eine Installation oder ein Upgrade von vSphere 7.0 Update 2 das TPM beim ersten Start nicht verwenden kann, wird die Installation oder das Upgrade fortgesetzt, und der Modus wird standardmäßig auf KEINE (d. h. --mode=NONE) festgelegt. Das resultierende Verhalten sieht so aus, als ob das TPM nicht aktiviert ist.