Vous pouvez utiliser ESXCLI pour effectuer une rotation de la clé de récupération de la configuration ESXi sécurisée.
Cette tâche s'applique uniquement à un hôte
ESXi qui dispose d'un TPM. Vous pouvez effectuer une rotation de la clé de récupération de la configuration
ESXi sécurisée dans le cadre des recommandations en matière de sécurité.
Conditions préalables
- A accès à l'ensemble de commandes ESXCLI. Vous pouvez exécuter des commandes ESXCLI à distance ou les exécuter dans ESXi Shell.
- Privilège requis pour utiliser la version autonome d'ESXCLI ou via PowerCLI :
Procédure
- Répertoriez la clé de récupération.
- Exécutez la commande suivante.
esxcli system settings encryption recovery rotate [-k keyID] -u uuid
Dans cette commande, l'ID de clé keyID facultatif est l'ID de clé dans le cache de clés VMkernel et uuid est l'ID de récupération (obtenu à partir de la commande esxcli system settings encryption recovery list
). Si vous ne fournissez pas l'ID de clé facultatif, ESXi remplace l'ancienne clé de récupération par une nouvelle clé de récupération générée de manière aléatoire.
Résultats
La clé de récupération est maintenant définie sur le contenu de la clé référencée par l'ID de clé, si elle est fournie. Sinon, ESXi fournit un nouvel ID de clé.