È possibile utilizzare i comandi ESXCLI per elencare la chiave di ripristino della configurazione ESXi sicura, ruotare la chiave di ripristino e modificare i criteri TPM (ad esempio, applicando l'avvio sicuro UEFI).

Elenco dei contenuti della chiave di ripristino della configurazione ESXi sicura

È possibile utilizzare ESXCLI per visualizzare i contenuti della chiave di ripristino della configurazione ESXi sicura.

Questa attività si applica solo a un host ESXi che dispone di un TPM. In generale, è possibile elencare il contenuto della chiave di ripristino della configurazione ESXi sicura per creare un backup o nell'ambito della rotazione delle chiavi di ripristino.

Prerequisiti

  • Disporre dell'accesso al set di comandi ESXCLI. È possibile eseguire i comandi ESXCLI in remoto o in ESXi Shell.
  • Privilegio richiesto per l'utilizzo della versione autonoma di ESXCLI o tramite PowerCLI: Host.Configura.Impostazioni

Procedura

  1. Eseguire il comando seguente sull'host ESXi.
    esxcli system settings encryption recovery list
  2. Salvare l'output in una posizione sicura e remota a titolo di backup, nel caso in cui sia necessario ripristinare la configurazione sicura.

risultati

Vengono visualizzati l'ID della chiave di ripristino e la chiave.

Esempio: Elenco della chiave di ripristino della configurazione ESXi sicura

[root@host1] esxcli system settings encryption recovery list

Recovery ID                             Key
--------------------------------------  ---
{2DDD5424-7F3F-406A-8DA8-D62630F6C8BC}  478269-039194-473926-430939-686855-231401-642208-184477-602511
-225586-551660-586542-338394-092578-687140-267425

Rotazione della chiave di ripristino della configurazione di sicurezza ESXi

È possibile utilizzare ESXCLI per ruotare la chiave di ripristino della configurazione ESXi di sicurezza.

Questa attività si applica solo a un host ESXi che dispone di un TPM. È possibile ruotare la ESXi chiave di ripristino della configurazione di sicurezza nell'ambito delle procedure consigliate di sicurezza.

Prerequisiti

  • Disporre dell'accesso al set di comandi ESXCLI. È possibile eseguire i comandi ESXCLI in remoto o in ESXi Shell.
  • Privilegio richiesto per l'utilizzo della versione autonoma di ESXCLI o tramite PowerCLI: Host.Configura.Impostazioni

Procedura

  1. Elencare la chiave di ripristino.
  2. Eseguire il comando seguente.
    esxcli system settings encryption recovery rotate [-k keyID] -u uuid

    In questo comando, il keyID facoltativo è l'ID della chiave nella cache della chiave VMkernel e uuid è l'ID di ripristino (ottenuto dal comando esxcli system settings encryption recovery list). Se non si fornisce l'ID della chiave facoltativa, ESXi sostituisce la vecchia chiave di ripristino con una nuova chiave di ripristino generata in modo casuale.

risultati

La chiave di ripristino è ora impostata sul contenuto della chiave a cui fa riferimento l'ID della chiave, se specificata. In caso contrario, ESXi fornisce un nuovo ID chiave.

Risoluzione dei problemi e ripristino della configurazione sicura ESXi

È possibile risolvere e ripristinare i problemi di avvio che potrebbero verificarsi con una configurazione ESXi sicura.

Se si cancella un TPM (ovvero i valori seed nel TPM vengono reimpostati), se un TPM non riesce, o se si sostituisce la scheda madre o il dispositivo TPM o entrambi, è necessario eseguire i passaggi per ripristinare la configurazione sicura di ESXi. Per ripristinare la configurazione, è necessario disporre della chiave di ripristino. Finché non si ripristina la configurazione, l'host ESXi non può essere avviato. Vedere Ripristino della configurazione sicura ESXi.

Anche se accade raramente, è possibile che un host ESXi non riesca a ripristinare o decrittografare la configurazione sicura, impedendo così l'avvio dell'host. Le possibili situazioni includono:

  • Modifica dell'impostazione di avvio sicuro (o di altri criteri)
  • Manomissione effettiva
  • La chiave di ripristino non è disponibile

Per risolvere queste condizioni, vedere l'articolo della Knowledge Base VMware in https://kb.vmware.com/s/article/81446.

Ripristino della configurazione sicura ESXi

Se un TPM non riesce oppure si cancella un TPM, è necessario ripristinare la configurazione ESXi sicura. Finché non si ripristina la configurazione, l'host ESXi non può essere avviato.

Il ripristino della configurazione ESXi sicura si riferisce alle seguenti situazioni:
  • Il TPM è stato cancellato (ovvero, i cloud nel TPM sono stati reimpostati).
  • Il TPM non è riuscito.
  • La scheda madre o il dispositivo TPM oppure entrambi sono stati sostituiti.

Per risolvere altri problemi di configurazione ESXi di sicurezza, vedere l'articolo della knowledge base VMware in https://kb.vmware.com/s/article/81446.

Eseguire il ripristino manualmente. Non eseguire il ripristino come parte di uno script di installazione o aggiornamento.

Prerequisiti

Ottenere la chiave di recupero. La chiave di recupero deve essere stata elencata e archiviata in precedenza. Vedere Elenco dei contenuti della chiave di ripristino della configurazione ESXi sicura.

Procedura

  1. (Facoltativo) Se il TPM non riesce, spostare il disco (con boot bank) in un altro host con un TPM.
  2. Avviare l'host ESXi.
  3. Quando viene visualizzata la finestra del programma di installazione ESXi, premere Maiusc+O per modificare le opzioni di avvio.
  4. Per ripristinare la configurazione, al prompt dei comandi aggiungere la seguente opzione di avvio a tutte le opzioni di avvio esistenti.
    encryptionRecoveryKey=recovery_key
    La configurazione ESXi di sicurezza viene ripristinata e viene avviato l'host ESXi.
  5. Per mantenere la modifica, immettere il comando seguente:
    /sbin/auto-backup.sh

Operazioni successive

Quando si immette la chiave di recupero, questa viene temporaneamente visualizzata in un ambiente non attendibile e si trova nella memoria. Per quanto non sia necessario, come procedura consigliata è possibile rimuovere le tracce residue della chiave in memoria riavviando l'host. In alternativa è possibile ruotare la chiave. Vedere Rotazione della chiave di ripristino della configurazione di sicurezza ESXi.

Attivazione o disattivazione dell'imposizione di avvio sicuro per una configurazione di ESXi sicura

È possibile scegliere di attivare l'imposizione di avvio sicuro UEFI o disattivare un'imposizione di avvio sicuro UEFI attivata in precedenza. È necessario utilizzare ESXCLI per modificare l'impostazione in TPM sull'host ESXi.

Questa attività si applica solo agli host ESXi che dispongono di TPM. L'avvio sicuro UEFI è un'impostazione del firmware per garantire che il software avviato dal firmware sia attendibile. Per ulteriori informazioni, vedere Avvio protetto UEFI per gli host ESXi. L'abilitazione dell'avvio sicuro UEFI può essere applicata a ogni avvio utilizzando il TPM.

Prerequisiti

  • Disporre dell'accesso al set di comandi ESXCLI. È possibile eseguire i comandi ESXCLI in remoto o in ESXi Shell.
  • Privilegio richiesto per l'utilizzo della versione autonoma di ESXCLI o tramite PowerCLI: Host.Configura.Impostazioni

Procedura

  1. Elencare le impostazioni correnti sull'host ESXi.
    esxcli system settings encryption get
       Mode: TPM
       Require Executables Only From Installed VIBs: false
       Require Secure Boot: true
    Se l'imposizione di avvio sicuro è attivata, l'opzione Richiedi avvio sicuro è true. Se l'imposizione di avvio sicuro è disattivata, l'opzione Richiedi avvio sicuro è false.
    Se la modalità è impostata su NESSUNA, è necessario attivare il TPM nel firmware dell'host e impostare la modalità eseguendo il comando seguente:
    esxcli system settings encryption set --mode=TPM
  2. Attivare o disattivare l'imposizione di avvio sicuro.
    Opzione Descrizione
    Attiva
    1. Arrestare l'host automaticamente.

      Ad esempio, fare clic con il pulsante destro del mouse sull'host ESXi in vSphere Client e selezionare Alimentazione > Arresta.

    2. Attivare l'avvio sicuro nel firmware dell'host.

      Vedere la documentazione hardware specifica del vendor.

    3. Riavviare l'host.
    4. Eseguire il seguente comando ESXCLI.
      esxcli system settings encryption set --require-secure-boot=T
    5. Verificare la modifica.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: true

      Verificare che Richiedi avvio sicuro mostri true.

    6. Per salvare l'impostazione, eseguire il comando seguente.
      /bin/backup.sh 0
    Disattiva
    1. Eseguire il seguente comando ESXCLI.
      esxcli system settings encryption set --require-secure-boot=F
    2. Verificare la modifica.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: false

      Verificare che Richiedi avvio sicuro mostri false.

    3. Per salvare l'impostazione, eseguire il comando seguente.
      /bin/backup.sh 0

      È possibile scegliere di disattivare l'avvio sicuro nel firmware dell'host, ma a questo punto la dipendenza tra l'impostazione del firmware e l'imposizione di TPM non è più impostata.

risultati

L'host ESXi viene eseguito con l'imposizione dell'avvio sicuro attivata o disattivata, in base all'opzione scelta.
Nota:
Se non si attiva un TPM quando si installa o si esegue l'aggiornamento a vSphere 7.0 Update 2 o versione successiva, è possibile farlo in un secondo momento con il comando seguente.
esxcli system settings encryption set --mode=TPM
Una volta attivato il TPM, l'impostazione non può essere annullata.

Il comando esxcli system settings encryption set non riesce in alcuni TPM anche quando il TPM è attivato per l'host.

  • In vSphere 7.0 Update 2: TPM di NationZ (NTZ), Infineon Technologies (IFX) e alcuni nuovi modelli (come NPCT75x) di Nuvoton Technologies Corporation (NTC)
  • In vSphere 7.0 Update 3: TPM da NationZ (NTZ)

Se un'installazione o un aggiornamento di vSphere 7.0 Update 2 o versione successiva non è in grado di utilizzare il TPM durante il primo avvio, l'installazione o l'aggiornamento continua e la modalità predefinita è NONE (ovvero --mode=NONE). Il comportamento risultante è come se il TPM non fosse attivato.

Attivazione o disattivazione dell'imposizione execInstalledOnly per una configurazione di ESXi sicura

È possibile scegliere di attivare l'imposizione execInstalledOnly oppure disattivare un'imposizione execInstalledOnly abilitata in precedenza. È necessario utilizzare ESXCLI per modificare l'impostazione in TPM sull'host ESXi. Per poter attivare l'imposizione execInstalledOnly, è necessario attivare l'imposizione di avvio sicuro UEFI.

Questa attività si applica solo agli host ESXi che dispongono di TPM. L'opzione di avvio avanzata execInstalledOnly di ESXi, se impostata su TRUE, garantisce da parte di VMkernel l'esecuzione dei soli file binari che sono stati compressi e firmati come parte di un VIB. L'abilitazione di questa opzione di avvio può essere applicata a ogni avvio utilizzando il TPM.

Prerequisiti

  • Per attivare l'imposizione execInstalledOnly, è innanzitutto necessario attivare l'imposizione di avvio sicuro UEFI. L'imposizione execInstalledOnly si basa sull'imposizione di avvio sicuro UEFI. Vedere Attivazione o disattivazione dell'imposizione di avvio sicuro per una configurazione di ESXi sicura.
  • Disporre dell'accesso al set di comandi ESXCLI. È possibile eseguire i comandi ESXCLI in remoto o in ESXi Shell.
  • Privilegio richiesto per l'utilizzo della versione autonoma di ESXCLI o tramite PowerCLI: Host.Configura.Impostazioni

Procedura

  1. Elencare le impostazioni correnti sull'host ESXi.
    esxcli system settings encryption get
       Mode: TPM
       Require Executables Only From Installed VIBs: false
       Require Secure Boot: true
    Se l'imposizione execInstalledOnly è attivata, l'opzione Richiedi eseguibili solo da VIB installati è true. Se l'imposizione execInstalledOnly è disattivata, l'opzione Richiedi eseguibili solo da VIB installati è false. Per attivare l'imposizione execInstalledOnly, è necessario attivare l'imposizione di avvio sicuro. In questo caso, l'opzione Richiedi avvio sicuro è true.
    Se la modalità è impostata su NESSUNA, è necessario abilitare il TPM nel firmware dell'host e impostare la modalità eseguendo il comando seguente:
    esxcli system settings encryption set --mode=TPM
    Se l'opzione Richiedi avvio sicuro è False, vedere Attivazione o disattivazione dell'imposizione di avvio sicuro per una configurazione di ESXi sicura per attivare l'imposizione.
  2. Attivare o disattivare l'imposizione execInstalledOnly.
    Opzione Descrizione
    Attiva
    1. Verificare che l'opzione di avvio sicuro sia attivata.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: true

      Verificare che Richiede avvio sicuro mostri true. In caso contrario, vedere Attivazione o disattivazione dell'imposizione di avvio sicuro per una configurazione di ESXi sicura.

    2. Per configurare il valore di runtime dell'opzione di avvio execInstalledOnly su TRUE, eseguire il seguente comando ESXCLI.
      esxcli system settings kernel set -s execInstalledOnly -v TRUE
    3. Arrestare l'host automaticamente.

      Ad esempio, fare clic con il pulsante destro del mouse sull'host ESXi in vSphere Client e selezionare Alimentazione > Arresta.

    4. Riavviare l'host.
    5. Per impostare l'imposizione execInstalledOnly, eseguire il comando ESXCLI seguente.
      esxcli system settings encryption set --require-exec-installed-only=T 
    6. Verificare la modifica.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: true
         Require Secure Boot: true

      Verificare che l'opzione Richiedi eseguibili solo da VIB installati sia true.

    7. Per salvare l'impostazione, eseguire il comando seguente.
      /bin/backup.sh 0
    Disattiva
    1. Eseguire il seguente comando ESXCLI.
      esxcli system settings encryption set --require-exec-installed-only=F
    2. Verificare la modifica.
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: true

      Verificare che l'opzione Richiedi eseguibili solo da VIB installati sia false.

    3. Per salvare l'impostazione, eseguire il comando seguente.
      /bin/backup.sh 0

      Il TPM non applica più l'opzione di avvio execInstalledOnly.

risultati

L'host ESXi viene eseguito con l'imposizione execInstalledOnly attivata o disattivata, in base all'opzione scelta.