Vous pouvez choisir d'activer l'application du démarrage sécurisé UEFI ou de désactiver une application de démarrage sécurisé UEFI précédemment activée. Vous devez utiliser ESXCLI pour modifier ce paramètre dans le TPM sur l'hôte ESXi.

Cette tâche s'applique uniquement aux hôtes ESXi qui contiennent un TPM. Le démarrage sécurisé UEFI est un paramètre du microprogramme qui permet de s'assurer que le logiciel lancé par le microprogramme est approuvé. L'activation du démarrage sécurisé UEFI peut être appliquée à chaque démarrage à l'aide du TPM.

Conditions préalables

  • A accès à l'ensemble de commandes ESXCLI. Vous pouvez exécuter des commandes ESXCLI à distance ou les exécuter dans ESXi Shell.
  • Privilège requis pour utiliser la version autonome d'ESXCLI ou via PowerCLI : Hôte.Configuration.Paramètres

Procédure

  1. Répertoriez les paramètres actuels sur l'hôte ESXi.
    esxcli system settings encryption get
       Mode: TPM
       Require Executables Only From Installed VIBs: false
       Require Secure Boot: true
    Si l'application du démarrage sécurisé est activée, l'option Exiger le démarrage sécurisé affiche la valeur true. Si l'application du démarrage sécurisé est désactivée, l'option Exiger le démarrage sécurisé affiche la valeur false.
    Si le mode est AUCUN, vous devez activer le TPM dans le microprogramme de l'hôte et définir le mode en exécutant la commande suivante :
    esxcli system settings encryption set --mode=TPM
  2. Activez ou désactivez l'application du démarrage sécurisé.
    Option Description
    Activer
    1. Arrêtez l'hôte de manière normale.

      Par exemple, cliquez avec le bouton droit sur l'hôte ESXi dans vSphere Client et sélectionnez Alimentation > Arrêter.

    2. Activez le démarrage sécurisé dans le microprogramme de l'hôte.

      Consultez la documentation matérielle de votre fournisseur.

    3. Redémarrez l'hôte.
    4. Exécutez la commande ESXCLI suivante.
      esxcli system settings encryption set --require-secure-boot=T
    5. Vérifiez la modification.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: true

      Confirmez que l'option Exiger le démarrage sécurisé affiche la valeur true.

    6. Pour enregistrer le paramètre, exécutez la commande suivante.
      /sbin/auto-backup.sh
    Désactiver
    1. Exécutez la commande ESXCLI suivante.
      esxcli system settings encryption set --require-secure-boot=F
    2. Vérifiez la modification.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: false

      Confirmez que l'option Exiger le démarrage sécurisé affiche la valeur false.

    3. Pour enregistrer le paramètre, exécutez la commande suivante.
      /sbin/auto-backup.sh

      Vous pouvez choisir de désactiver le démarrage sécurisé dans le microprogramme de l'hôte, mais la dépendance entre le paramètre du microprogramme et l'application du TPM n'est plus définie à ce stade.

Résultats

L'hôte ESXi s'exécute avec l'application du démarrage sécurisé activée ou désactivée, selon votre choix.
Note :
Si vous n'activez pas un TPM lors de l'installation ou de la mise à niveau vers vSphere 7.0 Update 2 ou version ultérieure, vous pouvez le faire ultérieurement à l'aide de la commande suivante.
esxcli system settings encryption set --mode=TPM
Après avoir activé le TPM, vous ne pouvez plus annuler ce paramètre.

La commande esxcli system settings encryption set échoue sur certains TPM, même lorsque le TPM est activé pour l'hôte.

  • Dans vSphere 7.0 Update 2 : les TPM de NationZ (NTZ), Infineon Technologies (IFX) et certains nouveaux modèles (tels que NPCT75x) de Nuvoton Technologies Corporation (NTC)
  • Dans vSphere 7.0 Update 3 : TPM provenant de NationZ (NTZ)

Si une installation ou une mise à niveau de vSphere 7.0 Update 2 ou version ultérieure ne parvient pas à utiliser le TPM lors du premier démarrage, l'installation ou la mise à niveau se poursuit et le mode est défini par défaut sur AUCUN (c'est-à-dire --mode=NONE). Le comportement qui en résulte est comme si le TPM n'était pas activé.