Puede usar ESXCLI para rotar la clave de recuperación de configuración de ESXi.
Esta tarea se aplica solo a un host
ESXi que tiene un TPM. Es posible rotar la clave de recuperación de configuración de
ESXi segura como parte de las prácticas recomendadas de seguridad.
Requisitos previos
- Tener acceso al conjunto de comandos de ESXCLI. Puede ejecutar comandos ESXCLI de forma remota o en ESXi Shell.
- Privilegio necesario para usar la versión independiente de ESXCLI o PowerCLI:
Procedimiento
- Enumere la clave de recuperación.
- Ejecute el siguiente comando.
esxcli system settings encryption recovery rotate [-k keyID] -u uuid
En este comando, el keyID opcional es el identificador de clave en la memoria caché de claves de VMkernel y uuid es el identificador de recuperación (obtenido del comando esxcli system settings encryption recovery list
). Si no proporciona el identificador de clave opcional, ESXi reemplaza la clave de recuperación anterior por una nueva clave de recuperación que se genera de forma aleatoria.
Resultados
La clave de recuperación ahora está configurada con el contenido de la clave a la que hace referencia el identificador de clave, si se proporciona. De lo contrario, ESXi proporciona un nuevo identificador de clave.