En vSphere 7.0 Update 2 y versiones posteriores, un host ESXi utiliza el TPM para sellar la configuración del host con una directiva de registro de configuración de la plataforma (Platform Configuration Register, PCR). La directiva de PCR se puede configurar para aplicar el arranque seguro UEFI y otros ajustes.
Un TPM puede utilizar las mediciones del registro de configuración de la plataforma (Platform Configuration Register, PCR) para implementar directivas que restrinjan el acceso no autorizado a los datos confidenciales. Cuando instala vSphere 7.0 Update 2 y versiones posteriores en un host ESXi con un TPM o actualiza el host a dicha versión, el TPM sella la información confidencial mediante una directiva que incorpora la configuración de arranque seguro. Esta directiva comprueba que, si el arranque seguro se habilitó cuando los datos se sellaron por primera vez con el TPM, este siga estando habilitado cuando se intente quitar el sello de los datos en un arranque posterior.
El arranque seguro forma parte del estándar de firmware UEFI. Con el arranque seguro UEFI habilitado, un host se niega a cargar cualquier aplicación o controlador UEFI, salvo que el cargador de arranque tenga una firma digital válida.
Puede deshabilitar o habilitar la aplicación del arranque seguro UEFI. Consulte Habilitar o deshabilitar la aplicación del arranque seguro para una configuración de ESXi segura.
esxcli system settings encryption set --mode=TPMUna vez que haya activado el TPM, no podrá deshacer la configuración.
esxcli system settings encryption set
en algunos TPM, incluso cuando el TPM está habilitado para el host.
- En vSphere 7.0 Update 2: TPM de NationZ (NTZ), Infineon Technologies (IFX) y ciertos modelos nuevos (como NPCT75x) de Nuvoton Technologies Corporation (NTC)
- En vSphere 7.0 Update 3: TPM de NationZ (NTZ)
Si una instalación o actualización de vSphere 7.0 Update 2 o una versión posterior no puede utilizar el TPM durante el primer arranque, la instalación o la actualización continúan y el modo predeterminado es NINGUNO (es decir, --mode=NONE
). El comportamiento resultante es como si el TPM no estuviera activado.
El TPM también puede aplicar la configuración para la opción de arranque execInstalledOnly en la directiva de sellado. La aplicación de execInstalledOnly es una opción avanzada de arranque de ESXi que garantiza que el Vmkernel ejecute solo archivos binarios que se empaquetaron y firmaron correctamente como parte de un VIB. La opción de arranque execInstalledOnly depende de la opción de arranque seguro. La aplicación del arranque seguro debe estar habilitada para poder aplicar la opción de arranque execInstalledOnly en la directiva de sellado. Consulte Habilitar o deshabilitar la aplicación execInstalledOnly para una configuración de ESXi segura.