ESXi-Hosts können die Funktionalität von TPM-Chips (Trusted Platform Modules) nutzen. Hierbei handelt es sich um sichere Kryptoprozessoren, die die Hostsicherheit erhöhen, indem sie eine Zusicherung der Vertrauenswürdigkeit ermöglichen, die in Hardware und nicht in Software verankert ist.

Was ist ein TPM?

TPM ist ein branchenweiter Standard für sichere Kryptoprozessoren. TPM-Chips sind in den meisten Computern zu finden. Dies gilt gleichermaßen für Laptops, Desktop-Computer und sogar Server. vSphere 6.7 und höher unterstützt TPM Version 2.0.

Ein TPM 2.0-Chip bestätigt die ESXi-Identität eines Hosts. Ein Host-Integritätsnachweis ist der Prozess der Authentifizierung und Bescheinigung des Zustands der Software eines Hosts zu einem bestimmten Zeitpunkt. Die Implementierung des UEFI Secure Boot-Mechanismus, der sicherstellt, dass beim Starten nur signierte Software geladen wird, ist eine Voraussetzung für einen erfolgreichen Integritätsnachweis. Der TPM 2.0-Chip zeichnet die Messungen der im System gestarteten Softwaremodule auf und speichert sie sicher ab, was extern von vCenter Server überprüft wird.

Der Fernbescheinigungsprozess umfasst die folgenden allgemeinen Schritte:

  1. Stellen Sie die Vertrauenswürdigkeit des Remote-TPMs fest und erstellen Sie darauf basierend einen Integritätsnachweisschlüssel (Attestation Key, AK).

    Wenn ein ESXi-Host zu vCenter Server hinzugefügt, von dort aus neu gestartet oder erneut mit vCenter Server verbunden wird, fordert vCenter Server einen AK vom Host an. Ein Teil des AK-Erstellungsprozesses beinhaltet auch die Überprüfung der TPM-Hardware selbst, um sicherzustellen, dass sie von einem bekannten (und vertrauenswürdigen) Anbieter produziert wurde.

  2. Rufen Sie den Integritätsnachweisbericht (Attestation Report) vom Host ab.

    vCenter Server verlangt, dass der Host einen Integritätsnachweisbericht sendet, der einen vom TPM signierten Auszug der Werte in den Platform Configuration Registers (PCRs) sowie andere signierte binäre Metadaten des Hosts enthält. Durch Überprüfung, ob die Informationen mit einer Konfiguration übereinstimmen, die er für vertrauenswürdig hält, identifiziert ein vCenter Server die Plattform auf einem zuvor nicht vertrauenswürdigen Host.

  3. Überprüfen Sie die Authentizität des Hosts.

    vCenter Server prüft die Echtheit des signierten Datenauszugs, leitet die Softwareversionen ab und bestimmt deren Vertrauenswürdigkeit. Wenn vCenter Server feststellt, dass der signierte Auszug ungültig ist, schlägt die Fernbescheinigung fehl, und der Host gilt als nicht vertrauenswürdig.

Was sind die vSphere-Anforderungen für die Verwendung eines TPM?

Um einen TPM 2.0-Chip verwenden zu können, muss Ihre Umgebung vCenter Server die folgenden Anforderungen erfüllen:

  • vCenter Server 6.7 oder höher
  • ESXi 6.7-Host oder höher mit installiertem und in UEFI aktivierten TPM 2.0-Chip
  • UEFI Secure Boot ist aktiviert

Stellen Sie sicher, dass das TPM im BIOS des ESXi-Hosts so konfiguriert ist, dass es den SHA-256-Hashing-Algorithmus und die TIS/FIFO-Schnittstelle (First-In, First-Out) verwendet und nicht CRB (Command Response Buffer). Informationen zum Einstellen dieser erforderlichen BIOS-Optionen finden Sie in der Dokumentation des Herstellers.

Überprüfen Sie die von VMware zertifizierten TPM 2.0-Chips unter

https://www.vmware.com/resources/compatibility/search.php

Was passiert, wenn Sie einen Host mit einem TPM starten?

Wenn Sie einen ESXi-Host mit installiertem TPM 2.0-Chip starten, überwacht vCenter Server den Nachweisstatus des Hosts. Um den Status der Hardwarevertrauensstellung anzuzeigen, wählen Sie im vSphere Client die Registerkarte vCenter Server und dann die Registerkarte Übersicht unter Überwachen aus. Status der Hardwarevertrauensstellung wird wie folgt angegeben:

  • Grün: Normaler Status, zeigt uneingeschränkte Vertrauenswürdigkeit an.
  • Rot: Integritätsnachweis ist fehlgeschlagen.
Hinweis: Wenn Sie einen TPM 2.0-Chip zu einem ESXi-Host hinzufügen, der von vCenter Server bereits verwaltet wird, müssen Sie zuerst den Host trennen und dann erneut verbinden. Informationen zum Trennen und Wiederverbinden von Hosts finden Sie in der vCenter Server und Hostverwaltung-Dokumentation.

Mit vSphere 7.0 und höher verwendet VMware® vSphere Trust Authority™ Remotenachweisfunktionen für ESXi-Hosts. Weitere Informationen finden Sie unter Was ist der vSphere Trust Authority-Nachweisdienst?.

Überprüfen des Integritätsnachweis-Status eines ESXi-Hosts

Wenn einem ESXi-Host ein Trusted Platform Module 2.0-kompatibler Chip hinzugefügt wurde, bescheinigt dieser die Integrität der Plattform. Sie können den Integritätsnachweis-Status des Hosts im vSphere Client anzeigen. Sie können auch den Intel TXT-Status (Trusted Execution Technology) anzeigen.

Prozedur

  1. Stellen Sie mit dem vSphere Client eine Verbindung zu vCenter Server her.
  2. Navigieren Sie zu einem Datencenter und klicken Sie auf die Registerkarte Überwachen.
  3. Klicken Sie auf Sicherheit.
  4. Überprüfen Sie den Host-Status in der Spalte „Integritätsnachweis“ und lesen Sie die begleitende Nachricht in der Spalte Nachricht.
  5. Wenn es sich bei diesem Host um einen vertrauenswürdigen Host handelt, finden Sie weitere Informationen unter Anzeigen des Nachweisstatus des vertrauenswürdigen Clusters.

Nächste Maßnahme

Informationen zur Fehlerbehandlung bei einem Integritätsnachweis-Status „Fehlgeschlagen“ oder „Warnung“ finden Sie unter Beheben von Problemen beim ESXi-Hostnachweis. Weitere Informationen zu vertrauenswürdigen Hosts finden Sie unter Beheben von Problemen beim Nachweis des vertrauenswürdigen Hosts.

Beheben von Problemen beim ESXi-Hostnachweis

Wenn Sie ein Trusted Platform Module (TPM)-Gerät auf einem ESXi-Host installieren, kann der Host möglicherweise keinen Nachweis erbringen. Sie können die möglichen Ursachen für dieses Problem beheben.

Prozedur

  1. Sehen Sie sich den Alarmstatus des ESXi-Hosts und die begleitende Fehlermeldung an. Weitere Informationen hierzu finden Sie unter Überprüfen des Integritätsnachweis-Status eines ESXi-Hosts.
  2. Wenn die Fehlermeldung Sicherer Start des Hosts wurde deaktiviert lautet, müssen Sie den sicheren Start erneut aktivieren, um das Problem zu beheben.
  3. Wenn der Beglaubigungsstatus des Hosts fehlgeschlagen ist, überprüfen Sie die vCenter Server-Datei vpxd.log auf folgende Meldung:
    Kein gecachter Identitätsschlüssel, Laden von der DB
    Diese Meldung zeigt an, dass Sie einen TPM 2.0-Chip zu einem ESXi-Host hinzufügen, der von vCenter Server bereits verwaltet wird. Sie müssen zuerst die Verbindung zum Host trennen und dann erneut verbinden. Informationen zum Trennen und Wiederverbinden von Hosts finden Sie in der vCenter Server und Hostverwaltung-Dokumentation.
    Weitere Informationen zu vCenter Server-Protokolldateien, einschließlich Speicherort und Protokollrotation, finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/1021804.
  4. Wenden Sie sich bei allen anderen Fehlermeldungen an den Kunden-Support.