Der Hostverschlüsselungsmodus wird beim Durchführen einer Verschlüsselungsaufgabe automatisch aktiviert, falls der Benutzer über ausreichende Rechte zum Aktivieren des Verschlüsselungsmodus verfügt. Nachdem der Hostverschlüsselungsmodus aktiviert wurde, werden alle Core-Dumps verschlüsselt, um die Freigabe von vertraulichen Informationen an Supportmitarbeiter zu vermeiden. Falls Sie die Verschlüsselung virtueller Maschinen bei einem ESXi-Host nicht mehr verwenden, können Sie den Verschlüsselungsmodus deaktivieren.

Nach der Aktivierung des Verschlüsselungsmodus für einen ESXi-Host müssen Sie ihn deaktivieren. Beispielsweise müssen Sie möglicherweise den Verschlüsselungsmodus deaktivieren, um ein ESXi-Support-Paket zu generieren (mithilfe des Befehls vm-support). Die Umschaltoption „Hostverschlüsselungsmodus deaktivieren“ (Host > Konfigurieren > Sicherheitsprofil > Hostverschlüsselungsmodus bearbeiten) funktioniert nicht, wenn Schlüsselmaterial auf dem Host vorhanden ist.

Sie können die API verwenden, um den Hostverschlüsselungsmodus zu deaktivieren, indem Sie die API-Methode „CryptoManagerHostDisable“ aufrufen.

Die für einen ESXi-Host definierten Verschlüsselungsmodi bzw. -zustände lauten:

  • pendingIncapable: Der Host ist für die Verschlüsselung deaktiviert, das heißt, der Host kann keine vSphere VM-Verschlüsselungsvorgänge durchführen.
  • incapable: Der Host ist für den Empfang vertraulicher Materialien nicht sicher.
  • prepared: Der Host ist für den Empfang vertraulicher Materialien vorbereitet, verfügt aber noch nicht über einen festgelegten Hostschlüssel.
  • safe: Der Host ist verschlüsselungssicher (aktiviert) und verfügt über einen Hostschlüsselsatz, das heißt, vSphere Virtual Machine Encryption-Vorgänge sind möglich.

Nachdem Sie „CryptoManagerHostDisable“ auf einem Host aufgerufen haben, ändert sich der Verschlüsselungsstatus des Hosts wie folgt:

  • Wenn der ursprüngliche Host-Verschlüsselungsstatus nicht in der Lage (incapable) oder vorbereitet (prepared) ist, wird der Host-Verschlüsselungsstatus in „incapable“ geändert.
  • Wenn der ursprüngliche Host-Verschlüsselungsstatus sicher (safe) ist, wird der Host-Verschlüsselungsstatus in „pendingIncapable“ geändert.
  • Wenn der Host-Verschlüsselungsstatus „pendingIncapable“ lautet, ist der Host-Verschlüsselungsstatus weiterhin „pendingIncapable“.

Diese Aufgabe zeigt, wie Sie mithilfe des vCenter Server-MOB (Managed Object Browser) den Hostverschlüsselungsmodus deaktivieren. Weitere Informationen zur Verwendung der API finden Sie in der Dokumentation vSphere Web Services API unter https://developer.vmware.com/apis/968/vsphere.

Prozedur

  1. Melden Sie sich beim vCenter Server als Administrator an.
  2. Heben Sie die Registrierung aller verschlüsselten virtuellen Maschinen auf dem ESXi-Host auf, dessen Verschlüsselungsmodus Sie deaktivieren möchten.
  3. Greifen Sie auf den MOB auf dem vCenter Server zu. 
    https://vcenter_server/mob
  4. Rufen Sie die Methode „CryptoManagerHostDisable“ auf einem Host auf.
    1. Klicken Sie unter „content name“ auf content.
    2. Klicken Sie unter „rootFolder“ auf group-D1 (Datacenters).
    3. Klicken Sie unter „childEntity“ auf das entsprechende Datencenter.
    4. Klicken Sie unter „hostFolder“ auf den entsprechenden Host.
    5. Klicken Sie unter „childEntity“ auf den entsprechenden Cluster.
    6. Klicken Sie unter „host“ auf den entsprechenden Host.
    7. Klicken Sie unter „configManager“ auf configManager.
    8. Klicken Sie unter „cryptoManager“ auf CryptoManagerHost-Zahl.
    9. Klicken Sie auf CryptoManagerHostDisable.
      Der Host-Verschlüsselungsstatus wird je nach ursprünglichem Verschlüsselungsstatus in „pendingIncapable“ oder „incapable“ geändert.
  5. Wiederholen Sie Schritt 4 für andere Hosts, auf denen Sie den Verschlüsselungsmodus deaktivieren möchten.
  6. Starten Sie die Hosts neu.

Ergebnisse

Sobald der Hostverschlüsselungsmodus deaktiviert ist, können Sie keine Verschlüsselungsvorgänge wie das Hinzufügen verschlüsselter virtueller Maschinen durchführen, es sei denn, Sie aktivieren den Hostverschlüsselungsmodus erneut.

Hinweis: Nachdem Sie einen ESXi-Host neu gestartet haben, auf dem Sie den Verschlüsselungsmodus deaktiviert haben, ist der Hostverschlüsselungsstatus weiterhin „pendingIncapable“, wenn der Hostverschlüsselungsstatus ursprünglich „pendingIncapable“ lautete. Um den Hostverschlüsselungsmodus erneut zu aktivieren, greifen Sie erneut auf den vCenter Server-MOB zu und rufen Sie die API-Methode ConfigureCryptoKey auf. Verwenden Sie beim erneuten Aktivieren des Hostverschlüsselungsmodus die ursprüngliche Hostschlüssel-ID, wenn der Hostverschlüsselungsstatus „pendingIncapable“ lautet.