È necessario attivare la persistenza delle chiavi in un host ESXi. Non è attivata per impostazione predefinita.

Per informazioni concettuali sulla persistenza delle chiavi, vedere Persistenza della chiave di vSphere negli host ESXi.

Prerequisiti

Requisiti per attivare la persistenza delle chiavi:

  • ESXi 7.0 Update 2 o successivi
  • Host ESXi installato con TPM 2.0
  • Disporre dell'accesso al set di comandi ESXCLI. È possibile eseguire i comandi ESXCLI da remoto oppure eseguirli in ESXi Shell.
Nota: La persistenza delle chiavi non è necessaria quando si utilizza vSphere Native Key Provider. vSphere Native Key Provider è stato progettato per essere eseguito senza la necessità di accedere a un server di chiavi.

Per una maggiore sicurezza, TPM può anche utilizzare un criterio di protezione per impedire la manomissione durante l'avvio dell'host ESXi. Vedere Che cosa sono i criteri di protezione TPM.

Procedura

  1. Avviare una sessione nell'host ESXi utilizzando SSH o un'altra connessione a una console remota.
  2. Accedere come root.
  3. Verificare che l'host ESXi sia in modalità TPM. 
    esxcli system settings encryption get
    Se la modalità è impostata su NESSUNA, è necessario abilitare TPM nel firmware dell'host e impostare la modalità eseguendo il comando seguente. 
    esxcli system settings encryption set --mode=TPM
  4. Attivare o disattivare la persistenza delle chiavi.
    1. Per attivare la persistenza delle chiavi: 
      esxcli system security keypersistence enable
    2. Per disattivare la persistenza: 
      esxcli system security keypersistence disable --remove-all-stored-keys