Sie können ESXCLI-Befehle verwenden, um den Wiederherstellungsschlüssel für die sichere ESXi-Konfiguration anzuzeigen, den Wiederherstellungsschlüssel zu rotieren und die TPM-Richtlinien zu ändern (z. B. Erzwingen von UEFI Secure Boot).

Auflisten der Inhalte des Wiederherstellungsschlüssels für die sichere ESXi-Konfiguration

Sie können ESXCLI verwenden, um den Inhalt des Wiederherstellungsschlüssels für die sichere ESXi-Konfiguration anzuzeigen.

Diese Aufgabe gilt nur für einen ESXi-Host, der über ein TPM verfügt. Im Allgemeinen listen Sie den Inhalt des Wiederherstellungsschlüssels für die sichere ESXi-Konfiguration auf, um eine Sicherung zu erstellen, oder als Teil der rotierenden Wiederherstellungsschlüssel.

Voraussetzungen

  • Zugriff auf den ESXCLI-Befehlssatz. Sie können ESXCLI-Befehle remote oder in der ESXi-Shell ausführen.
  • Notwendige Berechtigung zur Verwendung der eigenständigen ESXCLI-Version oder über PowerCLI: Host.Config.Settings

Prozedur

  1. Führen Sie den folgenden Befehl auf dem ESXi-Host aus. 
    esxcli system settings encryption recovery list
  2. Speichern Sie die Ausgabe an einem sicheren Remotespeicherort als Sicherung, falls Sie die sichere Konfiguration wiederherstellen müssen.

Ergebnisse

Die Wiederherstellungsschlüssel-ID und der Schlüssel werden angezeigt.

Beispiel: Auflisten des Wiederherstellungsschlüssels für die sichere ESXi-Konfiguration

[root@host1] esxcli system settings encryption recovery list

Recovery ID                             Key
--------------------------------------  ---
{2DDD5424-7F3F-406A-8DA8-D62630F6C8BC}  478269-039194-473926-430939-686855-231401-642208-184477-602511
-225586-551660-586542-338394-092578-687140-267425

Rotieren des Wiederherstellungsschlüssels für die sichere ESXi-Konfiguration

Sie können ESXCLI verwenden, um den Wiederherstellungsschlüssel für die sichere ESXi-Konfiguration zu rotieren.

Diese Aufgabe gilt nur für einen ESXi-Host, der über ein TPM verfügt. Sie können den Wiederherstellungsschlüssel für die sichere ESXi-Konfiguration im Rahmen der Best Practices für die Sicherheit rotieren.

Voraussetzungen

  • Zugriff auf den ESXCLI-Befehlssatz. Sie können ESXCLI-Befehle remote oder in der ESXi-Shell ausführen.
  • Notwendige Berechtigung zur Verwendung der eigenständigen ESXCLI-Version oder über PowerCLI: Host.Config.Settings

Prozedur

  1. Listet den Wiederherstellungsschlüssel auf.
    Weitere Informationen hierzu finden Sie unter Auflisten der Inhalte des Wiederherstellungsschlüssels für die sichere ESXi-Konfiguration.
  2. Führen Sie den folgenden Befehl aus. 
    esxcli system settings encryption recovery rotate [-k keyID] -u uuid

    In diesem Befehl ist die optionale keyID die Schlüssel-ID im VMkernel-Schlüssel-Cache und uuid die Wiederherstellungs-ID (erhalten über den Befehl esxcli system settings encryption recovery list). Wenn Sie die optionale Schlüssel-ID nicht angeben, ersetzt ESXi den alten Wiederherstellungsschlüssel durch einen neuen, der zufällig generiert wird.

Ergebnisse

Der Wiederherstellungsschlüssel ist jetzt auf den Inhalt des Schlüssels festgelegt, auf den die Schlüssel-ID verweist (sofern sie bereitgestellt wurde). Andernfalls stellt ESXi eine neue Schlüssel-ID bereit.

Fehlerbehebung und Wiederherstellung der sicheren ESXi-Konfiguration

Sie können Probleme beim Starten beheben und wiederherstellen, die bei einer sicheren ESXi-Konfiguration auftreten können.

Wenn Sie ein TPM löschen (d. h. die Seed-Werte im TPM zurückgesetzt werden), wenn ein TPM fehlschlägt oder wenn Sie das Motherboard oder das TPM-Gerät ersetzen oder aber beides, müssen Sie Schritte zum Wiederherstellen der sicheren ESXi-Konfiguration durchführen. Sie müssen über den Wiederherstellungsschlüssel verfügen, um die Konfiguration wiederherstellen zu können. Bis Sie die Konfiguration wiederherstellen, kann der ESXi-Host nicht gestartet werden. Weitere Informationen hierzu finden Sie unter Wiederherstellen der sicheren ESXi-Konfiguration.

Obwohl es eher ungewöhnlich ist, ist es möglich, dass ein ESXi-Host die sichere Konfiguration nicht wiederherstellen oder entschlüsseln kann, was dazu führen kann, dass der Host nicht gestartet wird. Mögliche Situationen:

  • Zur Einstellung für sicheren Start (oder andere Richtlinie) wechseln
  • Tatsächliche Manipulation
  • Der Wiederherstellungsschlüssel ist nicht verfügbar

Weitere Informationen zur Fehlerbehebung bei diesen Bedingungen finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/81446.

Wiederherstellen der sicheren ESXi-Konfiguration

Wenn ein TPM fehlschlägt oder wenn Sie ein TPM löschen, müssen Sie die sichere ESXi-Konfiguration wiederherstellen. Bis Sie die Konfiguration wiederherstellen, kann der ESXi-Host nicht gestartet werden.

Die Wiederherstellung der ESXi-Konfiguration bezieht sich auf die folgenden Situationen:
  • Sie haben das TPM gelöscht (d. h., die Speicher im TPM wurden zurückgesetzt).
  • Das TPM ist fehlgeschlagen.
  • Sie haben die Hauptplatine oder das TPM-Gerät oder beides ersetzt.

Informationen zur Behebung anderer Probleme bei der sicheren ESXi-Konfiguration finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/81446.

Führen Sie eine manuelle Wiederherstellung aus. Führen Sie die Wiederherstellung nicht als Teil eines Installations- oder Upgrade-Skripts durch.

Voraussetzungen

Rufen Sie Ihren Wiederherstellungsschlüssel ab. Sie sollten zuvor den Wiederherstellungsschlüssel aufgelistet und gespeichert haben. Weitere Informationen hierzu finden Sie unter Auflisten der Inhalte des Wiederherstellungsschlüssels für die sichere ESXi-Konfiguration.

Prozedur

  1. (Optional) Wenn das TPM fehlgeschlagen ist, verschieben Sie die Festplatte (mit der Startbank) auf einen anderen Host mit einem TPM.
  2. Starten Sie den ESXi-Host.
  3. Wenn das ESXi-Installationsprogramms angezeigt wird, drücken Sie Umschalt+O, um die Startoptionen zu bearbeiten.
  4. Um die Konfiguration wiederherzustellen, hängen Sie an der Eingabeaufforderung die folgende Startoption an alle vorhandenen Startoptionen an. 
    encryptionRecoveryKey=recovery_key
    Die sichere ESXi-Konfiguration wird wiederhergestellt, und der ESXi-Host wird gestartet.
  5. Geben Sie zum Beibehalten der Änderung den folgenden Befehl ein: 
    /sbin/auto-backup.sh

Nächste Maßnahme

Wenn Sie den Wiederherstellungsschlüssel eingeben, wird er vorübergehend in einer nicht vertrauenswürdigen Umgebung angezeigt und befindet sich im Arbeitsspeicher. Damit der Schlüssel vollständig aus dem Arbeitsspeicher entfernt wird, empfiehlt es sich als Best Practice (nicht erforderlich), den Host neu zu starten. Sie können den Link auch rotieren. Weitere Informationen hierzu finden Sie unter Rotieren des Wiederherstellungsschlüssels für die sichere ESXi-Konfiguration.

Aktivieren oder Deaktivieren der Secure Boot-Erzwingung für eine sichere ESXi-Konfiguration

Sie können UEFI Secure Boot-Erzwingung aktivieren oder eine zuvor aktivierte UEFI Secure Boot-Erzwingung deaktivieren. Sie müssen ESXCLI verwenden, um die Einstellung im TPM auf dem ESXi-Host zu ändern.

Diese Aufgabe gilt nur für ESXi-Hosts, die über ein TPM verfügen. Bei UEFI Secure Boot handelt es sich um eine Firmware-Einstellung, mit der sichergestellt wird, dass die von der Firmware gestartete Software vertrauenswürdig ist. Weitere Informationen finden Sie unter UEFI Secure Boot für ESXi-Hosts. Die Aktivierung von UEFI Secure Boot kann bei jedem Start mithilfe des TPM erzwungen werden.

Voraussetzungen

  • Zugriff auf den ESXCLI-Befehlssatz. Sie können ESXCLI-Befehle remote oder in der ESXi-Shell ausführen.
  • Notwendige Berechtigung zur Verwendung der eigenständigen ESXCLI-Version oder über PowerCLI: Host.Config.Settings

Prozedur

  1. Listen Sie die aktuellen Einstellungen auf dem ESXi-Host auf. 
    esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
    Bei aktivierter Secure Boot-Erzwingung wird „True“ für „Secure Boot anfordern“ angezeigt. Bei deaktivierter Secure Boot-Erzwingung wird „False“ für „Secure Boot anfordern“ angezeigt.
    Wenn als Modus KEINE angezeigt wird, müssen Sie das TPM in der Firmware des Hosts aktivieren und den Modus durch Ausführen des folgenden Befehls festlegen: 
    esxcli system settings encryption set --mode=TPM
  2. Aktivieren oder deaktivieren Sie Secure Boot-Erzwingung.
    Option Beschreibung
    Aktivieren
    1. Fahren Sie den Host ordnungsgemäß herunter.

      Beispiel: Klicken Sie mit der rechten Maustaste auf den ESXi-Host im vSphere Client und wählen Sie Betrieb > Herunterfahren aus.

    2. Aktivieren Sie „Secure Boot“ in der Firmware des Hosts.

      Weitere Informationen finden Sie in der Hardwaredokumentation Ihres Anbieters.

    3. Starten Sie den Host neu.
    4. Führen Sie den folgenden ESXCLI-Befehl aus.
      esxcli system settings encryption set --require-secure-boot=T
    5. Überprüfen Sie die Änderung.
      esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true

      Bestätigen Sie, dass „True“ für „Secure Boot anfordern“ angezeigt wird.

    6. Führen Sie zum Speichern der Einstellung folgenden Befehl aus: 
      /bin/backup.sh 0
    Deaktivieren
    1. Führen Sie den folgenden ESXCLI-Befehl aus.
      esxcli system settings encryption set --require-secure-boot=F
    2. Überprüfen Sie die Änderung.
      esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: false

      Bestätigen Sie, dass „False“ für „Secure Boot anfordern“ angezeigt wird.

    3. Führen Sie zum Speichern der Einstellung folgenden Befehl aus: 
      /bin/backup.sh 0

      Sie können „Secure Boot“ in der Firmware des Hosts deaktivieren. Zum gegenwärtigen Zeitpunkt besteht die Abhängigkeit zwischen der Firmware-Einstellung und der TPM-Erzwingung jedoch nicht mehr.

Ergebnisse

Der ESXi-Host wird je nach Benutzerauswahl mit aktivierter oder deaktivierter Secure Boot-Erzwingung ausgeführt.
Hinweis:
Wenn Sie bei der Installation von oder beim Upgrade auf vSphere 7.0 Update 2 oder höher kein TPM aktivieren, ist dies zu einem späteren Zeitpunkt mithilfe des folgenden Befehls möglich. 
esxcli system settings encryption set --mode=TPM
Nach Aktivierung des TPM können Sie die Einstellung nicht mehr rückgängig machen.

Der Befehl esxcli system settings encryption set schlägt auf manchen TPMs selbst dann fehl, wenn das jeweilige TPM für den Host aktiviert ist.

  • In vSphere 7.0 Update 2: TPMs von NationZ (NTZ), Infineon Technologies (IFX) und bestimmte neue Modelle (wie NPCT75x) von Nuvoton Technologies Corporation (NTC)
  • In vSphere 7.0 Update 3: TPMs von NationZ (NTZ)

Wenn eine Installation oder ein Upgrade von vSphere 7.0 Update 2 das TPM beim ersten Start nicht verwenden kann, wird die Installation oder das Upgrade fortgesetzt, und der Modus wird standardmäßig auf KEINE (d. h. --mode=NONE) festgelegt. Das resultierende Verhalten sieht so aus, als ob das TPM nicht aktiviert ist.

Aktivieren oder Deaktivieren der execInstalledOnly-Erzwingung für eine sichere ESXi-Konfiguration

Sie können execInstalledOnly-Erzwingung aktivieren oder eine zuvor aktivierte execInstalledOnly-Erzwingung deaktivieren. Sie müssen ESXCLI verwenden, um die Einstellung im TPM auf dem ESXi-Host zu ändern. UEFI Secure Boot-Erzwingung muss aktiviert sein. Erst dann kann die execInstalledOnly-Erzwingung aktiviert werden.

Diese Aufgabe gilt nur für ESXi-Hosts, die über ein TPM verfügen. Unter der Voraussetzung, dass die erweiterte ESXi-Startoption „execInstalledOnly“ auf TRUE festgelegt ist, wird garantiert, dass der VMkernel nur diejenigen Binärdateien ausführt, die als Teil des VIB gepackt und signiert wurden. Die Aktivierung dieser Startoption kann bei jedem Start mithilfe des TPM erzwungen werden.

Voraussetzungen

  • Zum Aktivieren der execInstalledOnly-Erzwingung müssen Sie zuerst die UEFI Secure Boot-Erzwingung aktivieren. Die execInstalledOnly-Erzwingung baut auf der UEFI Secure Boot-Erzwingung auf. Weitere Informationen hierzu finden Sie unter Aktivieren oder Deaktivieren der Secure Boot-Erzwingung für eine sichere ESXi-Konfiguration.
  • Zugriff auf den ESXCLI-Befehlssatz. Sie können ESXCLI-Befehle remote oder in der ESXi-Shell ausführen.
  • Notwendige Berechtigung zur Verwendung der eigenständigen ESXCLI-Version oder über PowerCLI: Host.Config.Settings

Prozedur

  1. Listen Sie die aktuellen Einstellungen auf dem ESXi-Host auf. 
    esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
    Bei aktivierter execInstalledOnly-Erzwingung wird „True“ für „Ausführbare Dateien nur aus installierten VIBs anfordern“ angezeigt. Bei deaktivierter execInstalledOnly-Erzwingung wird „False“ für „Ausführbare Dateien nur aus installierten VIBs anfordern“ angezeigt. Zum Aktivieren der execInstalledOnly-Erzwingung muss die Secure Boot-Erzwingung aktiviert sein, und „Secure Boot anfordern“ ist in diesem Fall auf „True“ festgelegt.
    Wenn als Modus KEINE angezeigt wird, müssen Sie das TPM in der Firmware des Hosts aktivieren und den Modus durch Ausführen des folgenden Befehls festlegen: 
    esxcli system settings encryption set --mode=TPM
    Wenn „Secure Boot anfordern“ auf „False“ festgelegt ist, finden Sie unter Aktivieren oder Deaktivieren der Secure Boot-Erzwingung für eine sichere ESXi-Konfiguration Informationen zum Aktivieren der Erzwingung.
  2. Aktivieren oder deaktivieren Sie die execInstalledOnly-Erzwingung.
    Option Beschreibung
    Aktivieren
    1. Stellen Sie sicher, dass die Secure Boot-Option aktiviert ist.
      esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true

      Bestätigen Sie, dass „True“ für „Secure Boot anfordern“ angezeigt wird. Falls nicht, finden Sie weitere Informationen unter Aktivieren oder Deaktivieren der Secure Boot-Erzwingung für eine sichere ESXi-Konfiguration.

    2. Um den Laufzeitwert der execInstalledOnly-Startoption auf TRUE zu setzen, führen Sie den folgenden ESXCLI-Befehl aus.
      esxcli system settings kernel set -s execInstalledOnly -v TRUE
    3. Fahren Sie den Host ordnungsgemäß herunter.

      Beispiel: Klicken Sie mit der rechten Maustaste auf den ESXi-Host im vSphere Client und wählen Sie Betrieb > Herunterfahren aus.

    4. Starten Sie den Host neu.
    5. Führen Sie zum Festlegen der execInstalledOnly-Erzwingung den folgenden ESXCLI-Befehl aus.
      esxcli system settings encryption set --require-exec-installed-only=T
    6. Überprüfen Sie die Änderung.
      esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: true
   Require Secure Boot: true

      Vergewissern Sie sich, dass „Ausführbare Dateien nur aus installierten VIBs anfordern“ auf „true“ festgelegt ist.

    7. Führen Sie zum Speichern der Einstellung folgenden Befehl aus: 
      /bin/backup.sh 0
    Deaktivieren
    1. Führen Sie den folgenden ESXCLI-Befehl aus.
      esxcli system settings encryption set --require-exec-installed-only=F
    2. Überprüfen Sie die Änderung.
      esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true

      Vergewissern Sie sich, dass „Ausführbare Dateien nur aus installierten VIBs anfordern“ auf „false“ festgelegt ist.

    3. Führen Sie zum Speichern der Einstellung folgenden Befehl aus: 
      /bin/backup.sh 0

      Das TPM erzwingt die execInstalledOnly-Startoption nicht mehr.

Ergebnisse

Der ESXi-Host wird je nach Benutzerauswahl mit aktivierter oder deaktivierter execInstalledOnly-Erzwingung ausgeführt.