ESXi ホストでは Trusted Platform Module (TPM) チップを使用できます。TPM は、ソフトウェアではなくハードウェアに基づく信頼保証を提供することでホストのセキュリティを強化するセキュアな暗号プロセッサです。

TPM について

TPM は、セキュアな暗号プロセッサに関する業界全体の標準です。現在、TPM チップは、ラップトップ、デスクトップ、サーバなど、ほとんどのコンピュータに搭載されています。vSphere 6.7 以降は TPM バージョン 2.0 をサポートします。

TPM 2.0 チップは、ホストの ESXi ID を証明します。ホストの証明は、指定時刻におけるホストのソフトウェアの状態を認証して、証明するプロセスのことです。署名されたソフトウェアのみが起動時にロードされるようにする UEFI セキュア ブートは、正常な証明の要件です。システム内で起動されたソフトウェア モジュールの測定値は TPM 2.0 チップに記録され、安全に保存されて、vCenter Server によってリモートに検証されます。

次に、リモート証明プロセスの手順の概要を示します。

  1. リモート TPM の信頼性を確立して、リモート TPM の証明キー (AK) を作成します。

    vCenter ServerESXi ホストの追加、再起動、再接続が実行されると、vCenter Server はホストに対して認証キー (AK) を要求します。AK 作成プロセスでは TPM ハードウェア自体の検証も行われ、既知の(信頼できる)ベンダーがハードウェアを製造したことを確認できます。

  2. ホストから、証明レポートを取得します。

    vCenter Server を使用するには、TPM によって署名された Platform Configuration Register (PCR) の引用、およびその他のホストの署名付きバイナリ メタデータを含む証明レポートをホストから送信する必要があります。vCenter Server は信頼できると見なされている構成に情報が対応していることを確認することで、以前は信頼されていなかったホストのプラットフォームを識別します。

  3. ホストの信頼性を確認します。

    vCenter Server は署名付き引用の信頼性を検証し、ソフトウェアのバージョンを推測し、上記ソフトウェア バージョンの信頼性を判断します。vCenter Server によって署名付き引用が無効であると判断された場合は、リモート証明に失敗し、ホストは信頼されません。

TPM を使用するための vSphere の要件について

TPM 2.0 チップを使用するには、vCenter Server 環境が次に示す要件を満たす必要があります。

  • vCenter Server 6.7 以降
  • TPM 2.0 チップを搭載していて、UEFI で有効になっている ESXi 6.7 以降のホスト
  • 有効な UEFI セキュア ブート

ESXi ホストの BIOS で、TPM が SHA 256 ハッシュ アルゴリズムおよび TIS/FIFO (First-In, First-Out) インターフェイスを使用し、CRB (Command Response Buffer) は使用しないように構成されていることを確認します。これらの必要な BIOS オプションの設定方法については、ベンダーのドキュメントを参照してください。

次の場所で、VMware 認定の TPM 2.0 チップを確認します。

https://www.vmware.com/resources/compatibility/search.php

TPM を使用してホストを起動した場合の動作

TPM 2.0 チップが搭載された ESXi ホストを起動するときに、vCenter Server はホストの証明ステータスを監視します。ハードウェアの信頼ステータスを表示するには、vSphere ClientvCenter Server を選択し、[監視] の下の [サマリ] タブを選択します。ハードウェアの信頼ステータスは次のいずれかです。

  • 緑:完全に信頼されていることを示す通常のステータスです。
  • 赤:証明に失敗しました。
注: すでに vCenter Server を管理している ESXi ホストに TPM 2.0 チップを追加する場合、ホストを切断してから、再度接続する必要があります。ホストの切断と再接続の詳細については、『 vCenter Server およびホストの管理』ドキュメントを参照してください。

vSphere 7.0 以降の場合、VMware® vSphere Trust Authority™ では、リモート証明機能が ESXi ホストに使用されます。vSphere 信頼機関 証明サービスについてを参照してください。

ESXi ホスト証明ステータスの表示

Trusted Platform Module 2.0 と互換性のあるチップは、ESXi ホストに追加されるとプラットフォームの整合性を証明します。vSphere Client でホストの証明ステータスを表示できます。Intel Trusted Execution Technology (TXT) のステータスを表示することもできます。

手順

  1. vCenter ServervSphere Client を使用して接続します。
  2. データセンターに移動し、[監視] タブをクリックします。
  3. [セキュリティ] をクリックします。
  4. [証明] 列でホストのステータスを確認し、[メッセージ] 列で付随するメッセージを参照します。
  5. このホストが信頼済みホストの場合は、詳細について信頼済みクラスタの証明ステータスの表示を参照してください。

次のタスク

失敗または警告の証明ステータスについては、ESXi ホスト証明の問題のトラブルシューティングを参照してください。信頼済みホストについては、信頼済みホスト証明の問題のトラブルシューティングを参照してください。

ESXi ホスト証明の問題のトラブルシューティング

ESXi ホストに Trusted Platform Module (TPM) デバイスをインストールするときに、ホストが証明を渡せないことがあります。この問題について考えられる原因をトラブルシューティングすることができます。

手順

  1. ESXi ホストのアラームのステータスおよび付随するエラー メッセージを表示します。ESXi ホスト証明ステータスの表示を参照してください。
  2. エラー メッセージが「Host secure boot was disabled」と表示される場合、セキュア ブートを再度有効にしてこの問題を解決する必要があります。
  3. ホストの証明ステータスが失敗した場合は、vCenter Server vpxd.log ファイルで次のメッセージを確認します。
    No cached identity key, loading from DB
    このメッセージは、 vCenter Server がすでに管理している ESXi ホストに TPM 2.0 チップを追加していることを示します。ホストを切断してから、再度接続する必要があります。ホストの切断と再接続の詳細については、『 vCenter Server およびホストの管理』ドキュメントを参照してください。
    vCenter Server ログ ファイルの詳細(場所、ログのローテーションを含む)については、 https://kb.vmware.com/s/article/1021804にある VMware のナレッジベースの記事を参照してください。
  4. その他のすべてのエラー メッセージについては、カスタマ サポートにお問い合わせください。