Le mode de chiffrement de l'hôte est activé automatiquement lorsqu'un utilisateur effectue une tâche de chiffrement, si l'utilisateur dispose de privilèges suffisants. Une fois le mode de chiffrement de l'hôte activé, tous les vidages de mémoire sont chiffrés afin d'éviter que des informations sensibles ne soient communiquées au personnel d'assistance. Si vous n'utilisez plus le chiffrement de machine virtuelle avec un hôte ESXi, vous pouvez désactiver le mode de chiffrement.

Une fois que le mode de chiffrement est activé pour un hôte ESXi, vous devrez peut-être le désactiver. Par exemple, vous devrez peut-être désactiver le mode de chiffrement pour générer un bundle de support ESXi (à l'aide de la commande vm-support). Le basculement du mode de chiffrement de l'hôte (Hôte > Configurer > Profil de sécurité > Modifier le mode de chiffrement de l'hôte) ne fonctionne pas lorsque le matériel de clé existe sur l'hôte.

Vous pouvez utiliser l'API pour désactiver le mode de chiffrement de l'hôte en appelant la méthode d'API CryptoManagerHostDisable.

Les modes de chiffrement, ou états, définis pour un hôte ESXi sont les suivants :

  • pendingIncapable : le chiffrement de l'hôte est désactivé, c'est-à-dire que l'hôte ne peut pas effectuer d'opérations de chiffrement de machine virtuelle vSphere.
  • inapte : l'hôte n'est pas suffisamment sûr pour recevoir du matériel sensible.
  • préparé : l'hôte est préparé pour recevoir du matériel sensible, mais il ne dispose pas encore d'une clé d'hôte définie.
  • sécurisé : l'hôte est sécurisé par le chiffrement (activé) et dispose d'une clé d'hôte définie, c'est-à-dire que les opérations de chiffrement de machine virtuelle vSphere sont possibles.

Après avoir appelé CryptoManagerHostDisable sur un hôte, l'état de chiffrement de l'hôte change comme suit :

  • Si l'état de chiffrement de l'hôte d'origine est inapte ou préparé, l'état de chiffrement de l'hôte passe à inapte
  • Si l'état de chiffrement de l'hôte d'origine est sécurisé, l'état de chiffrement de l'hôte est modifié en pendingIncapable.
  • Si l'état de chiffrement de l'hôte est pendingIncapable, l'état de chiffrement de l'hôte est toujours pendingIncapable.

Cette tâche indique comment désactiver le mode de chiffrement de l'hôte à l'aide du navigateur d'objets gérés (MOB) vCenter Server. Pour plus d'informations sur l'utilisation de l'API, reportez-vous à la documentation de l'API vSphere Web Services sur la page https://developer.vmware.com/apis/968/vsphere.

Procédure

  1. Connectez-vous à vCenter Server en tant qu'administrateur.
  2. Annulez l'enregistrement de toutes les machines virtuelles chiffrées à partir de l'hôte ESXi dont vous souhaitez désactiver le mode de chiffrement.
  3. Accédez au MOB sur vCenter Server.
    https://vcenter_server/mob
  4. Appelez la méthode CryptoManagerHostDisable sur un hôte.
    1. Sous le nom du contenu, cliquez sur contenu.
    2. Sous rootFolder, cliquez sur group-D1 (centres de données).
    3. Sous childEntity, cliquez sur le centre de données approprié.
    4. Sous hostFolder, cliquez sur l'hôte approprié.
    5. Sous childEntity, cliquez sur le cluster approprié.
    6. Sous hôte, cliquez sur l'hôte approprié.
    7. Sous configManager, cliquez sur configManager.
    8. Sous cryptoManager, cliquez sur CryptoManagerHost-number.
    9. Cliquez sur CryptoManagerHostDisable.
      L'état de chiffrement de l'hôte est modifié en pendingIncapable ou inapte, en fonction de son état de chiffrement d'origine.
  5. Répétez l'étape 4 pour les autres hôtes sur lesquels vous souhaitez désactiver le mode de chiffrement.
  6. Redémarrez les hôtes.

Résultats

Une fois le mode de chiffrement de l'hôte désactivé, vous ne pouvez pas effectuer d'opérations de chiffrement, telles que l'ajout de machines virtuelles chiffrées, sauf si vous réactivez le mode de chiffrement de l'hôte.

Note : Après le redémarrage d'un hôte ESXi sur lequel vous avez désactivé le mode de chiffrement, si l'état de chiffrement de l'hôte était initialement pendingIncapable, l'état de chiffrement de l'hôte est toujours pendingIncapable. Pour réactiver le mode de chiffrement de l'hôte, accédez à nouveau au MOB vCenter Server et appelez la méthode d'API ConfigureCryptoKey. Lors de la réactivation du mode de chiffrement de l'hôte, utilisez l'ID de clé de l'hôte d'origine si l'état de chiffrement de l'hôte est pendingIncapable.