La modalità di crittografia dell'host viene attivata automaticamente quando un utente esegue un'attività di crittografia, se dispone di privilegi sufficienti. Dopo l'attivazione della modalità di crittografia dell'host, tutti i core dump vengono crittografati per evitare la comunicazione di informazioni sensibili al personale di supporto. Se non si utilizza più la crittografia della macchina virtuale con un host ESXi, è possibile disattivare la modalità di crittografia.

Dopo l'attivazione della modalità di crittografia per un host ESXi, potrebbe essere necessario disattivarla. Ad esempio, potrebbe essere necessario disattivare la modalità di crittografia per generare un bundle di supporto ESXi (utilizzando il comando vm-support). L'utilizzo dell'interruttore della modalità di crittografia host (Host > Configura > Profilo di sicurezza > Modifica modalità crittografia host) non funziona se nell'host è presente materiale chiave.

È possibile utilizzare l'API per disattivare la modalità di crittografia host richiamando il metodo dell'API CryptoManagerHostDisable.

Le modalità di crittografia, o stati, definiti per un host ESXi sono:

  • pendingIncapable: l'host è disattivato per la crittografia, ovvero l'host non può eseguire operazioni di crittografia della macchina virtuale vSphere.
  • incapable: l'host non è sicuro per la ricezione di materiale sensibile.
  • prepared: l'host è preparato per la ricezione di materiale sensibile ma non ha ancora una chiave impostata.
  • safe: l'host è protetto dalla crittografia (attivata) e dispone di una chiave, ovvero sono possibili operazioni di crittografia della macchina virtuale vSphere.

Dopo aver richiamato CryptoManagerHostDisable in un host, lo stato di crittografia dell'host cambia nel modo seguente:

  • Se lo stato di crittografia dell'host originale è incapable o prepared, lo stato di crittografia dell'host viene impostato su incapable.
  • Se lo stato di crittografia dell'host originale è safe, lo stato di crittografia dell'host viene impostato su pendingIncapable.
  • Se lo stato di crittografia dell'host è pendingIncapable, lo stato di crittografia dell'host rimane pendingIncapable.

Questa attività mostra come disattivare la modalità di crittografia host utilizzando il Managed Object Browser (MOB) di vCenter Server. Per ulteriori informazioni sull'utilizzo dell'API, vedere la documentazione API dei servizi Web vSphere all'indirizzo https://developer.vmware.com/apis/968/vsphere.

Procedura

  1. Accedere a vCenter Server come amministratore.
  2. Annullare la registrazione di tutte le macchine virtuali crittografate dall'host ESXi di cui si desidera disattivare la modalità di crittografia.
  3. Accedere al MOB in vCenter Server.
    https://vcenter_server/mob
  4. Richiamare il metodo CryptoManagerHostDisable in un host.
    1. Sotto il nome del contenuto, fare clic su content.
    2. In rootFolder, fare clic su group-D1 (Datacenters).
    3. In childEntity, fare clic sul data center appropriato.
    4. In hostFolder, fare clic sull'host appropriato.
    5. In childEntity, fare clic sul cluster appropriato.
    6. In host, fare clic sull'host appropriato.
    7. In configManager, fare clic su configManager.
    8. In cryptoManager, fare clic su CryptoManagerHost-number.
    9. Fare clic su CryptoManagerHostDisable.
      Lo stato di crittografia dell'host diventa pendingIncapable o incapable, in base allo stato di crittografia originale.
  5. Ripetere il passaggio 4 per gli altri host in cui si desidera disattivare la modalità di crittografia.
  6. Riavviare gli host.

risultati

Una volta disattivata la modalità di crittografia host, non è possibile eseguire operazioni di crittografia, come l'aggiunta di macchine virtuali crittografate, a meno che non si riattivi la modalità di crittografia host.

Nota: Quando si riavvia un host ESXi in cui è stata disattivata la modalità di crittografia, se lo stato di crittografia dell'host era originariamente pendingIncapable, lo stato di crittografia dell'host è ancora pendingIncapable. Per riattivare la modalità di crittografia host, accedere nuovamente al MOB di vCenter Server e richiamare il metodo dell'API ConfigureCryptoKey. Quando si riattiva la modalità di crittografia host, utilizzare l'ID della chiave dell'host originale se lo stato di crittografia dell'host è pendingIncapable.