ESXCLI コマンドを使用して、セキュアな ESXi 構成リカバリ キーの一覧表示、リカバリ キーのローテーション、および TPM ポリシーの変更(UEFI セキュア ブートの適用など)を実行できます。
セキュアな ESXi 構成リカバリ キーの内容の一覧表示
ESXCLI を使用して、セキュアな ESXi 構成リカバリ キーの内容を表示できます。
前提条件
- ESXCLI コマンド セットにアクセス可能であること。ESXCLI コマンドはリモートで実行することも、ESXi シェルで実行することもできます。
- ESXCLI スタンドアローン バージョンまたは PowerCLI を使用するために必要な権限:
手順
結果
リカバリ キー ID とキーが表示されます。
例: セキュアな ESXi 構成のリカバリ キーの一覧表示
[root@host1] esxcli system settings encryption recovery list Recovery ID Key -------------------------------------- --- {2DDD5424-7F3F-406A-8DA8-D62630F6C8BC} 478269-039194-473926-430939-686855-231401-642208-184477-602511 -225586-551660-586542-338394-092578-687140-267425
セキュア な ESXi 構成のリカバリ キーのローテーション
ESXCLI を使用すると、セキュアな ESXi 構成のリカバリ キーをローテーションできます。
前提条件
- ESXCLI コマンド セットにアクセス可能であること。ESXCLI コマンドはリモートで実行することも、ESXi シェルで実行することもできます。
- ESXCLI スタンドアローン バージョンまたは PowerCLI を使用するために必要な権限:
手順
結果
指定されている場合、リカバリ キーがキー ID によって参照されるキーの内容に設定されます。それ以外の場合、ESXi で新しいキー ID が指定されます。
セキュア な ESXi 構成のトラブルシューティングとリカバリ
セキュアな ESXi 構成で発生する可能性のあるブート問題をトラブルシューティングしてリカバリできます。
TPM をクリアした場合(TPM のシード値がリセットされた場合)、TPM に障害が発生した場合、またはマザーボードや TPM デバイス、または両方を交換した場合は、セキュアな ESXi 構成のリカバリ手順を実行する必要があります。構成をリストアるには、リカバリ キーが必要です。ESXi 構成をリカバリするまで、ホストは起動できません。セキュアな ESXi 構成のリカバリを参照してください。
まれですが、ESXi ホストがセキュアな構成のリストアまたは復号化に失敗し、ホストが起動できなくなる可能性があります考えられる状況は次のとおりです。
- セキュア ブート設定(または他のポリシー)が変更された
- 改ざんが実際に行われた
- リカバリ キーが使用できない
これらの状態に対するトラブルシューティングを行うには、VMware ナレッジベースの記事 (https://kb.vmware.com/s/article/81446) を参照してください。
セキュアな ESXi 構成のリカバリ
TPM に障害が発生した場合、または TPM をクリアする場合は、セキュアな ESXi 構成をリカバリする必要があります。ESXi 構成をリカバリするまで、ホストは起動できません。
- TPM をクリアした(TPM のシードがリセットされた)。
- TPM が失敗した。
- マザーボードまたは TPM デバイス、またはその両方を交換しました。
他のセキュアな ESXi 構成の問題に対するトラブルシューティングについては、VMware ナレッジベースの記事 (https://kb.vmware.com/s/article/81446) を参照してください。
リカバリを手動で実行します。インストールまたはアップグレード スクリプトの一部としてリカバリを実行しないでください。
前提条件
手順
次のタスク
リカバリ キーを入力すると、信頼できない環境に一時的に表示され、メモリに保存されます。必要ではありませんが、ベスト プラクティスとして、ホストを再起動すると、メモリ内のキーの残ったトレースを削除できます。または、キーをローテートさせることもできます。セキュア な ESXi 構成のリカバリ キーのローテーションを参照してください。
セキュアな ESXi 構成のセキュア ブートの適用の有効化または無効化
UEFI セキュア ブートの適用を有効にするか、以前に有効にした UEFI セキュア ブートの適用を無効にするかを選択できます。ESXi ホストの TPM の設定を変更するには、ESXCLI を使用する必要があります。
このタスクは、TPM を備えた ESXi ホストにのみ適用されます。UEFI セキュア ブートは、ファームウェアによって起動されたソフトウェアが信頼できることを保証するためのファームウェア設定です。詳細については、「ESXi ホストの UEFI セキュア ブート」を参照してください。UEFI セキュア ブートの有効化は、TPM を使用してすべてのブートで実行できます。
前提条件
- ESXCLI コマンド セットにアクセス可能であること。ESXCLI コマンドはリモートで実行することも、ESXi シェルで実行することもできます。
- ESXCLI スタンドアローン バージョンまたは PowerCLI を使用するために必要な権限:
手順
結果
esxcli system settings encryption set --mode=TPMTPM を有効化すると、設定を取り消すことはできません。
TPM がホストで有効な場合でも、一部の TPM では esxcli system settings encryption set
コマンドが失敗します。
- vSphere 7.0 Update 2 の場合:NationZ (NTZ)、Infineon Technologies (IFX)、および Nuvoton Technologies Corporation (NTC) の特定の新しいモデル(NPCT75x など)からの TPM
- vSphere 7.0 Update 3 の場合:NationZ (NTZ) からの TPM
vSphere 7.0 Update 2 以降の最初の起動中に TPM を使用できない場合、このインストールまたはアップグレードは続行され、モードはデフォルトで「なし」(--mode=NONE
) になります。その結果、TPM がアクティブ化されていない場合と同様に動作します。
セキュアな ESXi 構成の execInstalledOnly の適用の有効化/無効化
execInstalledOnly の適用を有効にするか、以前に有効にした execInstalledOnly の適用を無効にするかを選択できます。ESXi ホストの TPM の設定を変更するには、ESXCLI を使用する必要があります。execInstalledOnly の適用を有効にする前に、UEFI セキュア ブートの適用を有効にする必要があります。
このタスクは、TPM を備えた ESXi ホストにのみ適用されます。execInstalledOnly の高度な ESXi ブート オプションを TRUE に設定すると、VMkernel が VIB の一部としてパッケージ化および署名されたバイナリのみを実行することが保証されます。このブート オプションの有効化は、TPM を使用してすべてのブートで実行できます。
前提条件
- execInstalledOnly の適用を有効にするには、最初に UEFI セキュア ブートの適用を有効にする必要があります。execInstalledOnly の適用は、UEFI セキュア ブートの適用の上に構築されます。セキュアな ESXi 構成のセキュア ブートの適用の有効化または無効化を参照してください。
- ESXCLI コマンド セットにアクセス可能であること。ESXCLI コマンドはリモートで実行することも、ESXi シェルで実行することもできます。
- ESXCLI スタンドアローン バージョンまたは PowerCLI を使用するために必要な権限:
手順
結果
ESXi ホストは、選択に応じて、execInstalledOnly の適用を有効または無効にして実行されます。