Puede usar comandos ESXCLI para enumerar la clave de recuperación de la configuración de ESXi segura, rotar la clave de recuperación y cambiar las directivas de TPM (por ejemplo, aplicar el arranque seguro UEFI).

Mostrar el contenido de la clave de recuperación de configuración de ESXi seguridad

Puede utilizar ESXCLI para mostrar el contenido de la clave de recuperación de configuración ESXi de seguridad.

Esta tarea se aplica solo a un host ESXi que tiene un TPM. En general, puede enumerar el contenido de la clave de recuperación de configuración ESXi segura para crear una copia de seguridad o como parte de la rotación de claves de recuperación.

Requisitos previos

  • Tener acceso al conjunto de comandos de ESXCLI. Puede ejecutar comandos ESXCLI de forma remota o en ESXi Shell.
  • Privilegio necesario para usar la versión independiente de ESXCLI o PowerCLI: Host.Config.Settings

Procedimiento

  1. Ejecute el siguiente comando en el host ESXi.
    esxcli system settings encryption recovery list
  2. Guarde la salida en una ubicación remota y segura como copia de seguridad en caso de que deba recuperar la configuración segura.

Resultados

Se muestran el identificador y la clave de la clave de recuperación.

Ejemplo: Enumerar la clave de recuperación de configuración de ESXi secura

[root@host1] esxcli system settings encryption recovery list

Recovery ID                             Key
--------------------------------------  ---
{2DDD5424-7F3F-406A-8DA8-D62630F6C8BC}  478269-039194-473926-430939-686855-231401-642208-184477-602511
-225586-551660-586542-338394-092578-687140-267425

Rotar la clave de recuperación de configuración de ESXi segura

Puede usar ESXCLI para rotar la clave de recuperación de configuración de ESXi.

Esta tarea se aplica solo a un host ESXi que tiene un TPM. Es posible rotar la clave de recuperación de configuración de ESXi segura como parte de las prácticas recomendadas de seguridad.

Requisitos previos

  • Tener acceso al conjunto de comandos de ESXCLI. Puede ejecutar comandos ESXCLI de forma remota o en ESXi Shell.
  • Privilegio necesario para usar la versión independiente de ESXCLI o PowerCLI: Host.Config.Settings

Procedimiento

  1. Enumere la clave de recuperación.
  2. Ejecute el siguiente comando.
    esxcli system settings encryption recovery rotate [-k keyID] -u uuid

    En este comando, el keyID opcional es el identificador de clave en la memoria caché de claves de VMkernel y uuid es el identificador de recuperación (obtenido del comando esxcli system settings encryption recovery list). Si no proporciona el identificador de clave opcional, ESXi reemplaza la clave de recuperación anterior por una nueva clave de recuperación que se genera de forma aleatoria.

Resultados

La clave de recuperación ahora está configurada con el contenido de la clave a la que hace referencia el identificador de clave, si se proporciona. De lo contrario, ESXi proporciona un nuevo identificador de clave.

Solución y recuperación de problemas de la configuración segura de ESXi

Puede solucionar y recuperarse de los problemas de arranque que podría encontrar con una configuración segura de ESXi.

Si se borra un TPM (es decir, se restablecen los valores de inicialización del TPM) o si se produce un error en un TPM o si se reemplaza la placa base o el dispositivo de TPM, debe realizar los pasos necesarios para recuperar la configuración segura de ESXi. Debe tener la clave de recuperación para recuperar la configuración. Hasta que no se recupere la configuración, el host ESXi no puede arrancar. Consulte Recuperar la configuración de ESXi segura.

Aunque es poco común, es posible que un host ESXi no pueda restaurar o descifrar la configuración segura, lo que impide que el host arranque. Las posibles situaciones incluyen:

  • Cambio a la configuración de arranque seguro (u otra directiva)
  • Manipulación real
  • La clave de recuperación no está disponible

Para solucionar estos problemas, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/81446

Recuperar la configuración de ESXi segura

Si se produce un error en un TPM o si borra un TPM, debe recuperar la configuración de ESXi segura. Hasta que no se recupere la configuración, el host ESXi no puede arrancar.

La recuperación de la configuración ESXi segura hace referencia a las siguientes situaciones:
  • Ha borrado el TPM (es decir, se han restablecido las inicializaciones del TPM).
  • Se produjo un error del TPM.
  • Reemplazó la placa base o el dispositivo TPM, o ambos.

Para solucionar otros problemas de configuración de ESXi segura, consulte el artículo VMware la base de conocimientos en https://kb.vmware.com/s/article/81446.

Realice la recuperación manualmente. No realice la recuperación como parte de un script de instalación o actualización.

Requisitos previos

Obtenga la clave de recuperación. Debería haber enumerado y almacenado previamente la clave de recuperación. Consulte Mostrar el contenido de la clave de recuperación de configuración de ESXi seguridad.

Procedimiento

  1. (opcional) Si ha fallado el TPM, mueva el disco (con el banco de arranque) a otro host con un TPM.
  2. Inicie el host ESXi.
  3. Cuando aparezca la ventana del instalador de ESXi, presione las teclas Mayús + O para editar las opciones de arranque.
  4. Para recuperar la configuración en el símbolo del sistema, anexe la siguiente opción de arranque a cualquier opción de arranque existente.
    encryptionRecoveryKey=recovery_key
    La configuración de ESXi segura se recupera y el host ESXi arranca.
  5. Para conservar el cambio, introduzca el siguiente comando:
    /sbin/auto-backup.sh

Qué hacer a continuación

Al introducir la clave de recuperación, esta se muestra temporalmente en un entorno que no es de confianza y se encuentra en la memoria. Aunque no es necesario, como práctica recomendada, puede eliminar los rastros residuales de la clave en la memoria reiniciando el host. O bien, puede girar la clave. Consulte Rotar la clave de recuperación de configuración de ESXi segura.

Activar o desactivar la aplicación del arranque seguro para una configuración de ESXi segura

Puede optar por activar la aplicación de arranque seguro UEFI o desactivar una aplicación de arranque seguro UEFI previamente activada. Debe utilizar ESXCLI para cambiar la configuración del TPM en el ESXi host.

Esta tarea se aplica solo a ESXi hosts que tienen un TPM. El arranque seguro UEFI es una configuración de firmware para garantizar que el software iniciado por el firmware sea de confianza. Para obtener más información, consulte Arranque seguro UEFI para hosts ESXi. La habilitación del arranque seguro UEFI se puede aplicar en cada arranque mediante TPM.

Requisitos previos

  • Tener acceso al conjunto de comandos de ESXCLI. Puede ejecutar comandos ESXCLI de forma remota o en ESXi Shell.
  • Privilegio necesario para usar la versión independiente de ESXCLI o PowerCLI: Host.Config.Settings

Procedimiento

  1. Enumere la configuración actual del ESXi host.
    esxcli system settings encryption get
       Mode: TPM
       Require Executables Only From Installed VIBs: false
       Require Secure Boot: true
    Si la aplicación del arranque seguro está activada, la opción Requerir arranque seguro (Require Secure Boot) muestra el valor true (cierto). Si la aplicación del arranque seguro está desactivada, la opción Requerir arranque seguro (Require Secure Boot) muestra el valor false (falso).
    Si Modo aparece como NINGUNO, debe activar el TPM en el firmware y establecer el modo mediante el siguiente comando:
    esxcli system settings encryption set --mode=TPM
  2. Active o desactive la aplicación del arranque seguro.
    Opción Descripción
    Activar
    1. Apague el host correctamente.

      Por ejemplo, haga clic con el botón secundario en ESXi host en el vSphere Client y seleccione Power > Shut Down.

    2. Active el arranque seguro en el firmware del host.

      Consulte la documentación de hardware de su proveedor específico.

    3. Reinicie el host.
    4. Ejecute el siguiente comando ESXCLI.
      esxcli system settings encryption set --require-secure-boot=T
    5. Verifique el cambio.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: true

      Confirme que el valor de Arranque seguro requerido (Required Secure Boot) se muestre en true (cierto).

    6. Para guardar la configuración, ejecute el siguiente comando:
      /bin/backup.sh 0
    Desactivar
    1. Ejecute el siguiente comando ESXCLI.
      esxcli system settings encryption set --require-secure-boot=F
    2. Verifique el cambio.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: false

      Confirme que Requerir arranque seguro (Require Secure Boot) muestre el valor false (falso).

    3. Para guardar la configuración, ejecute el siguiente comando:
      /bin/backup.sh 0

      Puede optar por desactivar el arranque seguro en el firmware del host, pero en este punto ya no se establece la dependencia entre la configuración de firmware y la aplicación de TPM.

Resultados

El host ESXi se ejecuta con la aplicación de arranque seguro activada o desactivada, según cuál sea su elección.
Nota:
Si no activa un TPM al instalar o actualizar a vSphere 7.0 Update 2 o una versión posterior, puede hacerlo más tarde con el siguiente comando.
esxcli system settings encryption set --mode=TPM
Una vez que haya activado el TPM, no podrá deshacer la configuración.

Se produce un error en el comando esxcli system settings encryption set en algunos TPM, incluso cuando el TPM está activado para el host.

  • En vSphere 7.0 Update 2: TPM de NationZ (NTZ), Infineon Technologies (IFX) y ciertos modelos nuevos (como NPCT75x) de Nuvoton Technologies Corporation (NTC)
  • En vSphere 7.0 Update 3: TPM de NationZ (NTZ)

Si una instalación o actualización de vSphere 7.0 Update 2 o una versión posterior no puede utilizar el TPM durante el primer arranque, la instalación o la actualización continúan y el modo predeterminado es NINGUNO (es decir, --mode=NONE). El comportamiento resultante es como si el TPM no estuviera activado.

Activar o desactivar la aplicación execInstalledOnly para una configuración de ESXi segura

Puede activar la aplicación execInstalledOnly o desactivar una aplicación execInstalledOnly habilitada previamente. Debe utilizar ESXCLI para cambiar la configuración del TPM en el ESXi host. La aplicación del arranque seguro UEFI debe estar activada antes de poder activar la aplicación execInstalledOnly.

Esta tarea se aplica solo a ESXi hosts que tienen un TPM. La opción de arranque ESXi execInstalledOnly, cuando se establece en TRUE, garantiza que el VMkernel ejecute solo los archivos binarios que se empaquetaron y firmaron como parte de un VIB. La habilitación de esta opción de arranque se puede aplicar en cada arranque mediante el uso de TPM.

Requisitos previos

  • Para activar la aplicación execInstalledOnly, primero debe activar la aplicación de arranque seguro UEFI. La aplicación execInstalledOnly está integrada en la aplicación de arranque seguro UEFI. Consulte Activar o desactivar la aplicación del arranque seguro para una configuración de ESXi segura.
  • Tener acceso al conjunto de comandos de ESXCLI. Puede ejecutar comandos ESXCLI de forma remota o en ESXi Shell.
  • Privilegio necesario para usar la versión independiente de ESXCLI o PowerCLI: Host.Config.Settings

Procedimiento

  1. Enumere la configuración actual del ESXi host.
    esxcli system settings encryption get
       Mode: TPM
       Require Executables Only From Installed VIBs: false
       Require Secure Boot: true
    Si la aplicación execInstalledOnly está activada, la opción Requerir ejecutables solo desde los VIB instalados (Require Executables Only From Installed VIBs) muestra el valor true (cierto). Si la aplicación execInstalledOnly está desactivada, la opción Requerir ejecutables solo desde los VIB instalados (Require Executables Only From Installed VIBs) muestra el valor false (falso). Para activar la aplicación execInstalledOnly, la aplicación de arranque seguro debe estar activada y Requerir arranque seguro (Require Secure Boot) muestra el valor true (cierto) en este caso.
    Si Modo aparece como NINGUNO, debe habilitar el TPM en el firmware y establecer el modo mediante el siguiente comando:
    esxcli system settings encryption set --mode=TPM
    Además, si Requerir arranque seguro (Require Secure Boot) aparece como False, consulte Activar o desactivar la aplicación del arranque seguro para una configuración de ESXi segura si desea activar esa exigencia.
  2. Active o desactive la aplicación execInstalledOnly.
    Opción Descripción
    Activar
    1. Compruebe que la opción de arranque seguro esté activada.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: true

      Confirme que la opción Requerir arranque seguro (Require Secure Boot) se muestre en true. Si no es así, consulte Activar o desactivar la aplicación del arranque seguro para una configuración de ESXi segura.

    2. Para configurar el valor de tiempo de ejecución de la opción de arranque execInstalledOnly en TRUE, ejecute el siguiente comando ESXCLI.
      esxcli system settings kernel set -s execInstalledOnly -v TRUE
    3. Apague el host correctamente.

      Por ejemplo, haga clic con el botón secundario en ESXi host en el vSphere Client y seleccione Power > Shut Down.

    4. Reinicie el host.
    5. Para establecer la aplicación execInstalledOnly, ejecute el siguiente comando ESXCLI.
      esxcli system settings encryption set --require-exec-installed-only=T 
    6. Verifique el cambio.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: true
         Require Secure Boot: true

      Confirme que la opción Requerir ejecutables solo desde los VIB instalados (Require Executables Only From Installed VIB) muestre el valor true.

    7. Para guardar la configuración, ejecute el siguiente comando:
      /bin/backup.sh 0
    Desactivar
    1. Ejecute el siguiente comando ESXCLI.
      esxcli system settings encryption set --require-exec-installed-only=F
    2. Verifique el cambio.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: true

      Confirme que la opción Requerir ejecutables solo desde los VIB instalados muestre el valor false.

    3. Para guardar la configuración, ejecute el siguiente comando:
      /bin/backup.sh 0

      El TPM ya no aplica la opción de arranque execInstalledOnly.

Resultados

El host ESXi se ejecuta con la aplicación execInstalledOnly activada o desactivada, según cuál sea su elección.