再キー化（表層）または再キー化（別名、再暗号化（表層））を使用すると、暗号化された仮想マシンで新しい（異なる）キー暗号化キー (KEK) を使用できます。再キー化操作は仮想マシンがパワーオン状態のときに実行できます。仮想マシンにスナップショットがある場合も、再キー化を実行できます。スナップショットが作成済みの暗号化された仮想マシンの再キー化は、単一のスナップショット分岐（ディスク チェーン）に対してのみ許可されます。複数のスナップショット分岐はサポートされていません。チェーン内のすべてのリンクを新しい KEK で更新する前に再キー化が失敗した場合でも、古い KEK と新しい KEK があれば暗号化された仮想マシンにアクセスできます。