Rotar la clave de recuperación de configuración de ESXi segura

Puede usar ESXCLI para rotar la clave de recuperación de configuración de ESXi.

Esta tarea se aplica solo a un host ESXi que tiene un TPM. Es posible rotar la clave de recuperación de configuración de ESXi segura como parte de las prácticas recomendadas de seguridad.

Requisitos previos

Tener acceso al conjunto de comandos de ESXCLI. Puede ejecutar comandos ESXCLI de forma remota o en ESXi Shell.
Privilegio necesario para usar la versión independiente de ESXCLI o PowerCLI: Host.Config.Settings

Procedimiento

Enumere la clave de recuperación.
Consulte Mostrar el contenido de la clave de recuperación de configuración de ESXi seguridad.
Ejecute el siguiente comando.
```
esxcli system settings encryption recovery rotate [-k keyID] -u uuid
```
En este comando, el keyID opcional es el identificador de clave en la memoria caché de claves de VMkernel y uuid es el identificador de recuperación (obtenido del comando esxcli system settings encryption recovery list). Si no proporciona el identificador de clave opcional, ESXi reemplaza la clave de recuperación anterior por una nueva clave de recuperación que se genera de forma aleatoria.

Resultados

La clave de recuperación ahora está configurada con el contenido de la clave a la que hace referencia el identificador de clave, si se proporciona. De lo contrario, ESXi proporciona un nuevo identificador de clave.