Der Hostverschlüsselungsmodus wird automatisch aktiviert, wenn ein Benutzer eine Verschlüsselungsaufgabe durchführt, wenn der Benutzer über ausreichende Berechtigungen verfügt. Nachdem der Hostverschlüsselungsmodus aktiviert wurde, werden alle Core-Dumps verschlüsselt, um die Freigabe von vertraulichen Informationen an Supportmitarbeiter zu vermeiden. Falls Sie die Verschlüsselung virtueller Maschinen bei einem ESXi-Host nicht mehr verwenden, können Sie den Verschlüsselungsmodus deaktivieren.
Nach der Aktivierung des Verschlüsselungsmodus für einen ESXi-Host müssen Sie ihn möglicherweise deaktivieren. Beispielsweise müssen Sie möglicherweise den Verschlüsselungsmodus deaktivieren, um ein ESXi-Support-Paket zu generieren (mithilfe des Befehls vm-support). Die Umschaltoption „Hostverschlüsselungsmodus“ ( ) funktioniert nicht, wenn Schlüsselmaterial auf dem Host vorhanden ist.
Sie können die API verwenden, um den Hostverschlüsselungsmodus zu deaktivieren, indem Sie die API-Methode „CryptoManagerHostDisable“ aufrufen.
Die für einen ESXi-Host definierten Verschlüsselungsmodi bzw. -zustände lauten:
- pendingIncapable: Der Host ist für die Verschlüsselung aktiviert ist, das heißt, der Host kann keine vSphere VM-Verschlüsselungsvorgänge durchführen.
- incapable: Der Host ist für den Empfang vertraulicher Materialien nicht sicher.
- prepared: Der Host ist für den Empfang vertraulicher Materialien vorbereitet, verfügt aber noch nicht über einen festgelegten Hostschlüssel.
- safe: Der Host ist verschlüsselungssicher (aktiviert) und verfügt über einen Hostschlüsselsatz, das heißt, vSphere Virtual Machine Encryption-Vorgänge sind möglich.
Nachdem Sie „CryptoManagerHostDisable“ auf einem Host aufgerufen haben, ändert sich der Verschlüsselungsstatus des Hosts wie folgt:
- Wenn der ursprüngliche Host-Verschlüsselungsstatus nicht in der Lage (incapable) oder vorbereitet (prepared) ist, wird der Host-Verschlüsselungsstatus in „incapable“ geändert.
- Wenn der ursprüngliche Host-Verschlüsselungsstatus sicher (safe) ist, wird der Host-Verschlüsselungsstatus in „pendingIncapable“ geändert.
- Wenn der Host-Verschlüsselungsstatus „pendingIncapable“ lautet, ist der Host-Verschlüsselungsstatus weiterhin „pendingIncapable“.
Diese Aufgabe zeigt mithilfe des vCenter Server-MOB (Managed Object Browser) den Hostverschlüsselungsmodus deaktivieren. Weitere Informationen zur Verwendung der API finden Sie in der Dokumentation vSphere Web Services API unter https://developer.vmware.com/apis/968/vsphere.
Prozedur
Ergebnisse
Sobald der Hostverschlüsselungsmodus deaktiviert ist, können Sie keine Verschlüsselungsvorgänge wie das Hinzufügen verschlüsselter virtueller Maschinen durchführen, es sei denn, Sie aktivieren den Hostverschlüsselungsmodus erneut.