Dans vSphere 7.0 Update 2 et versions ultérieures, un hôte ESXi utilise le TPM pour sceller la configuration de l'hôte par rapport à une stratégie PCR (Platform Configuration Register). La stratégie PCR peut être configurée pour appliquer le démarrage sécurisé UEFI et d'autres paramètres.
Un TPM peut utiliser des mesures PCR (Platform Configuration Register) pour mettre en œuvre des stratégies qui limitent l'accès non autorisé aux données sensibles. Lorsque vous installez ou mettez à niveau un hôte ESXi avec un TPM vers vSphere 7.0 Update 2 et versions ultérieures, le TPM scelle les informations sensibles à l'aide d'une stratégie qui intègre le paramètre de démarrage sécurisé. Cette stratégie vérifie que si le démarrage sécurisé a été activé lorsque les données ont été scellées pour la première fois avec le TPM, alors le démarrage sécurisé doit toujours être activé lors de la tentative de descellement des données au cours d'un démarrage ultérieur.
Le démarrage sécurisé est une fonctionnalité standard du microprogramme UEFI. Lorsque le démarrage sécurisé UEFI est activé, si le chargeur de démarrage du système d'exploitation ne possède pas de signature numérique valide, l'hôte refuse de charger un pilote ou une application UEFI.
Vous pouvez choisir de désactiver ou d'activer l'application du démarrage sécurisé UEFI. Reportez-vous à la section Activer ou désactiver l'application du démarrage sécurisé pour une configuration ESXi sécurisée.
esxcli system settings encryption set --mode=TPMAprès avoir activé le TPM, vous ne pouvez plus annuler ce paramètre.
esxcli system settings encryption set
échoue sur certains TPM, même lorsque le TPM est activé pour l'hôte.
- Dans vSphere 7.0 Update 2 : les TPM de NationZ (NTZ), Infineon Technologies (IFX) et certains nouveaux modèles (tels que NPCT75x) de Nuvoton Technologies Corporation (NTC)
- Dans vSphere 7.0 Update 3 : TPM provenant de NationZ (NTZ)
Si une installation ou une mise à niveau de vSphere 7.0 Update 2 ou version ultérieure ne parvient pas à utiliser le TPM lors du premier démarrage, l'installation ou la mise à niveau se poursuit et le mode est défini par défaut sur AUCUN (c'est-à-dire --mode=NONE
). Le comportement qui en résulte est comme si le TPM n'était pas activé.
Le TPM peut également appliquer le paramètre pour l'option de démarrage execInstalledOnly dans la stratégie de scellement. L'application execInstalledOnly est une option de démarrage ESXi avancée qui garantit que VMkernel exécute uniquement les fichiers binaires qui ont été correctement empaquetés et signés dans le cadre d'un VIB. L'option de démarrage execInstalledOnly est dépendante de l'option de démarrage sécurisé. L'application du démarrage sécurisé doit être activée avant de pouvoir appliquer l'option de démarrage execInstalledOnly dans la stratégie de scellement. Reportez-vous à la section Activer ou désactiver l'application d'execInstalledOnly pour une configuration ESXi sécurisée.