Puede optar por habilitar la aplicación de arranque seguro UEFI o deshabilitar una aplicación de arranque seguro UEFI previamente habilitada. Debe utilizar ESXCLI para cambiar la configuración del TPM en el ESXi host.
Esta tarea se aplica solo a ESXi hosts que tienen un TPM. El arranque seguro UEFI es una configuración de firmware para garantizar que el software iniciado por el firmware sea de confianza. La habilitación del arranque seguro UEFI se puede aplicar en cada arranque mediante TPM.
Requisitos previos
- Tener acceso al conjunto de comandos de ESXCLI. Puede ejecutar comandos ESXCLI de forma remota o en ESXi Shell.
- Privilegio necesario para usar la versión independiente de ESXCLI o PowerCLI:
Procedimiento
- Enumere la configuración actual del ESXi host.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true
Si la aplicación del arranque seguro está habilitada, la opción Requerir arranque seguro (Require Secure Boot) se muestra en true (cierto). Si la aplicación del arranque seguro está deshabilitada, la opción Requerir arranque seguro (Require Secure Boot) muestra el valor false (falso).
Si Modo aparece como NINGUNO, debe habilitar el TPM en el firmware del host y establecer el modo mediante la ejecución del siguiente comando:
esxcli system settings encryption set --mode=TPM
- Habilitar o deshabilitar la aplicación del arranque seguro.
| Opción |
Descripción |
| Habilitar |
- Apague el host correctamente.
Por ejemplo, haga clic con el botón secundario en ESXi host en el vSphere Client y seleccione .
- Habilite el arranque seguro en el firmware del host.
Consulte la documentación de hardware de su proveedor específico.
- Reinicie el host.
- Ejecute el siguiente comando ESXCLI.
esxcli system settings encryption set --require-secure-boot=T
- Verifique el cambio.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true Confirme que el valor de Arranque seguro requerido (Required Secure Boot) se muestre en true (cierto).
- Para guardar la configuración, ejecute el siguiente comando:
/sbin/auto-backup.sh
|
| Deshabilitar |
- Ejecute el siguiente comando ESXCLI.
esxcli system settings encryption set --require-secure-boot=F
- Verifique el cambio.
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: false Confirme que Requerir arranque seguro (Require Secure Boot) muestre el valor false (falso).
- Para guardar la configuración, ejecute el siguiente comando:
/sbin/auto-backup.sh Puede optar por deshabilitar el arranque seguro en el firmware del host, pero en este punto ya no se establece la dependencia entre la configuración de firmware y la aplicación de TPM.
|
Resultados
El
ESXi host se ejecuta con la aplicación de arranque seguro habilitada o deshabilitada, según cuál sea su elección.
Nota:
Si no activa un TPM al instalar o actualizar a vSphere 7.0 Update 2 o una versión posterior, puede hacerlo más tarde con el siguiente comando.
esxcli system settings encryption set --mode=TPM
Una vez que haya activado el TPM, no podrá deshacer la configuración.
Se produce un error en el comando esxcli system settings encryption set en algunos TPM, incluso cuando el TPM está habilitado para el host.
- En vSphere 7.0 Update 2: TPM de NationZ (NTZ), Infineon Technologies (IFX) y ciertos modelos nuevos (como NPCT75x) de Nuvoton Technologies Corporation (NTC)
- En vSphere 7.0 Update 3: TPM de NationZ (NTZ)
Si una instalación o actualización de vSphere 7.0 Update 2 o una versión posterior no puede utilizar el TPM durante el primer arranque, la instalación o la actualización continúan y el modo predeterminado es NINGUNO (es decir, --mode=NONE). El comportamiento resultante es como si el TPM no estuviera activado.
