Vous pouvez utiliser les commandes ESXCLI pour répertorier la clé de récupération de la configuration ESXi sécurisée, faire pivoter la clé de récupération et modifier les stratégies TPM (par exemple, l'application du démarrage sécurisé UEFI).

Répertorier le contenu de la clé de récupération de la configuration ESXi sécurisée

Vous pouvez utiliser ESXCLI pour afficher le contenu de la clé de récupération de la configuration ESXi sécurisée.

Cette tâche s'applique uniquement à un hôte ESXi qui dispose d'un TPM. En général, vous répertoriez le contenu de la clé de récupération de la configuration ESXi sécurisée pour créer une sauvegarde ou dans le cadre de la rotation des clés de récupération.

Conditions préalables

  • A accès à l'ensemble de commandes ESXCLI. Vous pouvez exécuter des commandes ESXCLI à distance ou les exécuter dans ESXi Shell.
  • Privilège requis pour utiliser la version autonome d'ESXCLI ou via PowerCLI : Hôte.Configuration.Paramètres

Procédure

  1. Exécutez la commande suivante sur l'hôte ESXi. 
    esxcli system settings encryption recovery list
  2. Enregistrez la sortie dans un emplacement distant sécurisé en tant que sauvegarde, dans le cas où vous devez récupérer la configuration sécurisée.

Résultats

L'ID de clé de récupération et la clé sont affichés.

Exemple : Répertorier la clé de récupération de la configuration ESXi sécurisée

[root@host1] esxcli system settings encryption recovery list

Recovery ID                             Key
--------------------------------------  ---
{2DDD5424-7F3F-406A-8DA8-D62630F6C8BC}  478269-039194-473926-430939-686855-231401-642208-184477-602511
-225586-551660-586542-338394-092578-687140-267425

Effectuer une rotation de la clé de récupération de la configuration ESXi sécurisée

Vous pouvez utiliser ESXCLI pour effectuer une rotation de la clé de récupération de la configuration ESXi sécurisée.

Cette tâche s'applique uniquement à un hôte ESXi qui dispose d'un TPM. Vous pouvez effectuer une rotation de la clé de récupération de la configuration ESXi sécurisée dans le cadre des recommandations en matière de sécurité.

Conditions préalables

  • A accès à l'ensemble de commandes ESXCLI. Vous pouvez exécuter des commandes ESXCLI à distance ou les exécuter dans ESXi Shell.
  • Privilège requis pour utiliser la version autonome d'ESXCLI ou via PowerCLI : Hôte.Configuration.Paramètres

Procédure

  1. Répertoriez la clé de récupération.
    Reportez-vous à la section Répertorier le contenu de la clé de récupération de la configuration ESXi sécurisée.
  2. Exécutez la commande suivante. 
    esxcli system settings encryption recovery rotate [-k keyID] -u uuid

    Dans cette commande, l'ID de clé keyID facultatif est l'ID de clé dans le cache de clés VMkernel et uuid est l'ID de récupération (obtenu à partir de la commande esxcli system settings encryption recovery list). Si vous ne fournissez pas l'ID de clé facultatif, ESXi remplace l'ancienne clé de récupération par une nouvelle clé de récupération générée de manière aléatoire.

Résultats

La clé de récupération est maintenant définie sur le contenu de la clé référencée par l'ID de clé, si elle est fournie. Sinon, ESXi fournit un nouvel ID de clé.

Dépannage et récupération de la configuration ESXi sécurisée

Vous pouvez résoudre et récupérer des problèmes de démarrage que vous pouvez rencontrer avec une configuration ESXi sécurisée.

Si vous effacez un TPM (c'est-à-dire que les valeurs initiales dans le TPM sont réinitialisées) ou si vous remplacez la carte mère ou le périphérique TPM (ou les deux), vous devez prendre des mesures pour récupérer la configuration ESXi sécurisée. Vous devez avoir la clé de récupération pour récupérer la configuration. Tant que vous n'avez pas récupéré la configuration, l'hôte ESXi ne peut pas démarrer. Reportez-vous à la section Récupérer la configuration ESXi sécurisée.

Bien que cela soit rare, il est possible qu'un hôte ESXi ne réussisse pas à restaurer ou à déchiffrer la configuration sécurisée, empêchant ainsi l'hôte de démarrer. Cela est possible dans les situations suivantes :

  • Modification du paramètre de démarrage sécurisé (ou autre stratégie)
  • Altération réelle
  • Clé de récupération non disponible

Pour résoudre ces situations, reportez-vous à l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/81446.

Récupérer la configuration ESXi sécurisée

Si un TPM échoue ou si vous en effacez un, vous devez récupérer la configuration ESXi sécurisée. Tant que vous n'avez pas récupéré la configuration, l'hôte ESXi ne peut pas démarrer.

La récupération de la configuration ESXi sécurisée fait référence aux situations suivantes :
  • Vous avez effacé le TPM (c'est-à-dire que les valeurs initiales du TPM ont été réinitialisées).
  • Le TPM a échoué.
  • Vous avez remplacé la carte mère ou le périphérique TPM, ou les deux.

Pour résoudre d'autres problèmes liés à la configuration ESXi sécurisée, reportez-vous à l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/81446.

Effectuez la récupération manuellement. N'effectuez pas la récupération dans le cadre d'un script d'installation ou de mise à niveau.

Conditions préalables

Obtenez votre clé de récupération. Vous devez avoir précédemment répertorié et stocké la clé de récupération. Reportez-vous à la section Répertorier le contenu de la clé de récupération de la configuration ESXi sécurisée.

Procédure

  1. (Facultatif) Si le TPM a échoué, déplacez le disque (avec la banque de démarrage) vers un autre hôte avec un TPM.
  2. Démarrez l'hôte ESXi.
  3. Lorsque la fenêtre du programme d'installation ESXi s'affiche, appuyez sur les touches Maj.+O pour éditer les options de démarrage.
  4. Pour récupérer la configuration, dans l'invite de commande, ajoutez l'option de démarrage suivante à toutes les options de démarrage existantes. 
    encryptionRecoveryKey=recovery_key
    La configuration ESXi sécurisée est récupérée et l'hôte ESXi démarre.
  5. Pour conserver la modification, entrez la commande suivante : 
    /sbin/auto-backup.sh

Que faire ensuite

Lorsque vous entrez la clé de récupération, celle-ci s'affiche temporairement dans un environnement non sécurisé et se trouve dans la mémoire. Bien que cela ne soit pas nécessaire, il est recommandé de supprimer les traces résiduelles de la clé dans la mémoire en redémarrant l'hôte. Vous pouvez également effectuer une rotation de la clé. Reportez-vous à la section Effectuer une rotation de la clé de récupération de la configuration ESXi sécurisée.

Activer ou désactiver l'application du démarrage sécurisé pour une configuration d'ESXi sécurisée

Vous pouvez choisir d'activer l'application du démarrage sécurisé UEFI ou de désactiver une application de démarrage sécurisé UEFI précédemment activée. Vous devez utiliser ESXCLI pour modifier ce paramètre dans le TPM sur l'hôte ESXi.

Cette tâche s'applique uniquement aux hôtes ESXi qui contiennent un TPM. Le démarrage sécurisé UEFI est un paramètre du microprogramme qui permet de s'assurer que le logiciel lancé par le microprogramme est approuvé. Pour en savoir plus, reportez-vous à la section Démarrage sécurisé UEFI des hôtes ESXi L'activation du démarrage sécurisé UEFI peut être appliquée à chaque démarrage à l'aide du TPM.

Conditions préalables

  • A accès à l'ensemble de commandes ESXCLI. Vous pouvez exécuter des commandes ESXCLI à distance ou les exécuter dans ESXi Shell.
  • Privilège requis pour utiliser la version autonome d'ESXCLI ou via PowerCLI : Hôte.Configuration.Paramètres

Procédure

  1. Répertoriez les paramètres actuels sur l'hôte ESXi. 
    esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
    Si l'application du démarrage sécurisé est activée, l'option Exiger le démarrage sécurisé affiche la valeur true. Si l'application du démarrage sécurisé est désactivée, l'option Exiger le démarrage sécurisé affiche la valeur false.
    Si le mode est AUCUN, vous devez activer le TPM dans le microprogramme de l'hôte et définir le mode en exécutant la commande suivante : 
    esxcli system settings encryption set --mode=TPM
  2. Activez ou désactivez l'application du démarrage sécurisé.
    Option Description
    Activer
    1. Arrêtez l'hôte de manière normale.

      Par exemple, cliquez avec le bouton droit sur l'hôte ESXi dans vSphere Client et sélectionnez Alimentation > Arrêter.

    2. Activez le démarrage sécurisé dans le microprogramme de l'hôte.

      Consultez la documentation matérielle de votre fournisseur.

    3. Redémarrez l'hôte.
    4. Exécutez la commande ESXCLI suivante.
      esxcli system settings encryption set --require-secure-boot=T
    5. Vérifiez la modification.
      esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true

      Confirmez que l'option Exiger le démarrage sécurisé affiche la valeur true.

    6. Pour enregistrer le paramètre, exécutez la commande suivante.
      /bin/backup.sh 0
    Désactiver
    1. Exécutez la commande ESXCLI suivante.
      esxcli system settings encryption set --require-secure-boot=F
    2. Vérifiez la modification.
      esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: false

      Confirmez que l'option Exiger le démarrage sécurisé affiche la valeur false.

    3. Pour enregistrer le paramètre, exécutez la commande suivante.
      /bin/backup.sh 0

      Vous pouvez choisir de désactiver le démarrage sécurisé dans le microprogramme de l'hôte, mais la dépendance entre le paramètre du microprogramme et l'application du TPM n'est plus définie à ce stade.

Résultats

L'hôte ESXi s'exécute avec l'application du démarrage sécurisé activée ou désactivée, selon votre choix.
Note :
Si vous n'activez pas un TPM lors de l'installation ou de la mise à niveau vers vSphere 7.0 Update 2 ou version ultérieure, vous pouvez le faire ultérieurement à l'aide de la commande suivante. 
esxcli system settings encryption set --mode=TPM
Après avoir activé le TPM, vous ne pouvez plus annuler ce paramètre.

La commande esxcli system settings encryption set échoue sur certains TPM, même lorsque le TPM est activé pour l'hôte.

  • Dans vSphere 7.0 Update 2 : les TPM de NationZ (NTZ), Infineon Technologies (IFX) et certains nouveaux modèles (tels que NPCT75x) de Nuvoton Technologies Corporation (NTC)
  • Dans vSphere 7.0 Update 3 : TPM provenant de NationZ (NTZ)

Si une installation ou une mise à niveau de vSphere 7.0 Update 2 ou version ultérieure ne parvient pas à utiliser le TPM lors du premier démarrage, l'installation ou la mise à niveau se poursuit et le mode est défini par défaut sur AUCUN (c'est-à-dire --mode=NONE). Le comportement qui en résulte est comme si le TPM n'était pas activé.

Activer ou désactiver l'application d'execInstalledOnly pour une configuration d'ESXi sécurisée

Vous pouvez choisir d'activer l'application d'execInstalledOnly ou de désactiver une application d'execInstalledOnly précédemment activée. Vous devez utiliser ESXCLI pour modifier ce paramètre dans le TPM sur l'hôte ESXi. L'application du démarrage sécurisé UEFI doit être activée avant de pouvoir activer l'application d'execInstalledOnly.

Cette tâche s'applique uniquement aux hôtes ESXi qui contiennent un TPM. L'option de démarrage ESXi avancée execInstalledOnly, lorsqu'elle est définie sur TRUE, garantit que VMkernel exécute uniquement les fichiers binaires qui ont été empaquetés et signés dans le cadre d'un VIB. L'activation de cette option de démarrage peut être appliquée à chaque démarrage à l'aide du TPM.

Conditions préalables

  • Pour activer l'application d'execInstalledOnly, vous devez d'abord activer l'application du démarrage sécurisé UEFI. L'application d'execInstalledOnly est intégrée à l'application du démarrage sécurisé UEFI. Reportez-vous à la section Activer ou désactiver l'application du démarrage sécurisé pour une configuration d'ESXi sécurisée.
  • A accès à l'ensemble de commandes ESXCLI. Vous pouvez exécuter des commandes ESXCLI à distance ou les exécuter dans ESXi Shell.
  • Privilège requis pour utiliser la version autonome d'ESXCLI ou via PowerCLI : Hôte.Configuration.Paramètres

Procédure

  1. Répertoriez les paramètres actuels sur l'hôte ESXi. 
    esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
    Si l'application d'execInstalledOnly est activée, l'option Exiger les exécutables à partir des VIB installés uniquement affiche la valeur true. Si l'application d'execInstalledOnly est déactivée, l'option Exiger les exécutables à partir des VIB installés uniquement affiche la valeur false. Pour activer l'application d'execInstalledOnly, l'application du démarrage sécurisé doit être activée et l'option Exiger le démarrage sécurisé affiche alors la valeur true.
    Si le mode est AUCUN, vous devez activer le TPM dans le microprogramme de l'hôte et définir le mode en exécutant la commande suivante : 
    esxcli system settings encryption set --mode=TPM
    En outre, si l'option Exiger le démarrage sécurisé indique la valeur False, consultez Activer ou désactiver l'application du démarrage sécurisé pour une configuration d'ESXi sécurisée pour activer l'application.
  2. Activez ou désactivez l’application d’execInstalledOnly.
    Option Description
    Activer
    1. Vérifiez que l'option de démarrage sécurisé est activée.
      esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true

      Confirmez que l'option Exiger le démarrage sécurisé affiche la valeur true. Si ce n'est pas le cas, consultez la section Activer ou désactiver l'application du démarrage sécurisé pour une configuration d'ESXi sécurisée.

    2. Pour configurer la valeur d'exécution de l'option de démarrage execInstalledOnly sur TRUE, exécutez la commande ESXCLI suivante.
      esxcli system settings kernel set -s execInstalledOnly -v TRUE
    3. Arrêtez l'hôte de manière normale.

      Par exemple, cliquez avec le bouton droit sur l'hôte ESXi dans vSphere Client et sélectionnez Alimentation > Arrêter.

    4. Redémarrez l'hôte.
    5. Pour définir l'application execInstalledOnly, exécutez la commande ESXCLI suivante.
      esxcli system settings encryption set --require-exec-installed-only=T
    6. Vérifiez la modification.
      esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: true
   Require Secure Boot: true

      Confirmez que l'option Exiger les exécutables à partir des VIB installés uniquement affiche la valeur true.

    7. Pour enregistrer le paramètre, exécutez la commande suivante.
      /bin/backup.sh 0
    Désactiver
    1. Exécutez la commande ESXCLI suivante.
      esxcli system settings encryption set --require-exec-installed-only=F
    2. Vérifiez la modification.
      esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true

      Confirmez que l'option Exiger les exécutables à partir des VIB installés uniquement affiche la valeur false.

    3. Pour enregistrer le paramètre, exécutez la commande suivante.
      /bin/backup.sh 0

      Le TPM n'applique plus l'option de démarrage execInstalledOnly.

Résultats

L'hôte ESXi s'exécute avec l'application d'execInstalledOnly activée ou désactivée, selon votre choix.