Puede usar comandos ESXCLI para enumerar la clave de recuperación de la configuración de ESXi segura, rotar la clave de recuperación y cambiar las directivas de TPM (por ejemplo, aplicar el arranque seguro UEFI).
Mostrar el contenido de la clave de recuperación de configuración de ESXi seguridad
Puede utilizar ESXCLI para mostrar el contenido de la clave de recuperación de configuración ESXi de seguridad.
Requisitos previos
- Tener acceso al conjunto de comandos de ESXCLI. Puede ejecutar comandos ESXCLI de forma remota o en ESXi Shell.
- Privilegio necesario para usar la versión independiente de ESXCLI o PowerCLI:
Procedimiento
Resultados
Se muestran el identificador y la clave de la clave de recuperación.
Ejemplo: Enumerar la clave de recuperación de configuración de ESXi secura
[root@host1] esxcli system settings encryption recovery list Recovery ID Key -------------------------------------- --- {2DDD5424-7F3F-406A-8DA8-D62630F6C8BC} 478269-039194-473926-430939-686855-231401-642208-184477-602511 -225586-551660-586542-338394-092578-687140-267425
Rotar la clave de recuperación de configuración de ESXi segura
Puede usar ESXCLI para rotar la clave de recuperación de configuración de ESXi.
Requisitos previos
- Tener acceso al conjunto de comandos de ESXCLI. Puede ejecutar comandos ESXCLI de forma remota o en ESXi Shell.
- Privilegio necesario para usar la versión independiente de ESXCLI o PowerCLI:
Procedimiento
Resultados
La clave de recuperación ahora está configurada con el contenido de la clave a la que hace referencia el identificador de clave, si se proporciona. De lo contrario, ESXi proporciona un nuevo identificador de clave.
Solución y recuperación de problemas de la configuración segura de ESXi
Puede solucionar y recuperarse de los problemas de arranque que podría encontrar con una configuración segura de ESXi.
Si se borra un TPM (es decir, se restablecen los valores de inicialización del TPM) o si se produce un error en un TPM o si se reemplaza la placa base o el dispositivo de TPM, debe realizar los pasos necesarios para recuperar la configuración segura de ESXi. Debe tener la clave de recuperación para recuperar la configuración. Hasta que no se recupere la configuración, el host ESXi no puede arrancar. Consulte Recuperar la configuración de ESXi segura.
Aunque es poco común, es posible que un host ESXi no pueda restaurar o descifrar la configuración segura, lo que impide que el host arranque. Las posibles situaciones incluyen:
- Cambio a la configuración de arranque seguro (u otra directiva)
- Manipulación real
- La clave de recuperación no está disponible
Para solucionar estos problemas, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/81446
Recuperar la configuración de ESXi segura
Si se produce un error en un TPM o si borra un TPM, debe recuperar la configuración de ESXi segura. Hasta que no se recupere la configuración, el host ESXi no puede arrancar.
- Ha borrado el TPM (es decir, se han restablecido las inicializaciones del TPM).
- Se produjo un error del TPM.
- Reemplazó la placa base o el dispositivo TPM, o ambos.
Para solucionar otros problemas de configuración de ESXi segura, consulte el artículo VMware la base de conocimientos en https://kb.vmware.com/s/article/81446.
Realice la recuperación manualmente. No realice la recuperación como parte de un script de instalación o actualización.
Requisitos previos
Procedimiento
Qué hacer a continuación
Al introducir la clave de recuperación, esta se muestra temporalmente en un entorno que no es de confianza y se encuentra en la memoria. Aunque no es necesario, como práctica recomendada, puede eliminar los rastros residuales de la clave en la memoria reiniciando el host. O bien, puede girar la clave. Consulte Rotar la clave de recuperación de configuración de ESXi segura.
Activar o desactivar la aplicación del arranque seguro para una configuración de ESXi segura
Puede optar por activar la aplicación de arranque seguro UEFI o desactivar una aplicación de arranque seguro UEFI previamente activada. Debe utilizar ESXCLI para cambiar la configuración del TPM en el ESXi host.
Esta tarea se aplica solo a ESXi hosts que tienen un TPM. El arranque seguro UEFI es una configuración de firmware para garantizar que el software iniciado por el firmware sea de confianza. Para obtener más información, consulte Arranque seguro UEFI para hosts ESXi. La habilitación del arranque seguro UEFI se puede aplicar en cada arranque mediante TPM.
Requisitos previos
- Tener acceso al conjunto de comandos de ESXCLI. Puede ejecutar comandos ESXCLI de forma remota o en ESXi Shell.
- Privilegio necesario para usar la versión independiente de ESXCLI o PowerCLI:
Procedimiento
Resultados
esxcli system settings encryption set --mode=TPMUna vez que haya activado el TPM, no podrá deshacer la configuración.
Se produce un error en el comando esxcli system settings encryption set
en algunos TPM, incluso cuando el TPM está activado para el host.
- En vSphere 7.0 Update 2: TPM de NationZ (NTZ), Infineon Technologies (IFX) y ciertos modelos nuevos (como NPCT75x) de Nuvoton Technologies Corporation (NTC)
- En vSphere 7.0 Update 3: TPM de NationZ (NTZ)
Si una instalación o actualización de vSphere 7.0 Update 2 o una versión posterior no puede utilizar el TPM durante el primer arranque, la instalación o la actualización continúan y el modo predeterminado es NINGUNO (es decir, --mode=NONE
). El comportamiento resultante es como si el TPM no estuviera activado.
Activar o desactivar la aplicación execInstalledOnly para una configuración de ESXi segura
Puede activar la aplicación execInstalledOnly o desactivar una aplicación execInstalledOnly habilitada previamente. Debe utilizar ESXCLI para cambiar la configuración del TPM en el ESXi host. La aplicación del arranque seguro UEFI debe estar activada antes de poder activar la aplicación execInstalledOnly.
Esta tarea se aplica solo a ESXi hosts que tienen un TPM. La opción de arranque ESXi execInstalledOnly, cuando se establece en TRUE, garantiza que el VMkernel ejecute solo los archivos binarios que se empaquetaron y firmaron como parte de un VIB. La habilitación de esta opción de arranque se puede aplicar en cada arranque mediante el uso de TPM.
Requisitos previos
- Para activar la aplicación execInstalledOnly, primero debe activar la aplicación de arranque seguro UEFI. La aplicación execInstalledOnly está integrada en la aplicación de arranque seguro UEFI. Consulte Activar o desactivar la aplicación del arranque seguro para una configuración de ESXi segura.
- Tener acceso al conjunto de comandos de ESXCLI. Puede ejecutar comandos ESXCLI de forma remota o en ESXi Shell.
- Privilegio necesario para usar la versión independiente de ESXCLI o PowerCLI:
Procedimiento
Resultados
El host ESXi se ejecuta con la aplicación execInstalledOnly activada o desactivada, según cuál sea su elección.