可以使用 ESXCLI 輪替安全 ESXi 組態復原金鑰。

此工作僅適用於具有 TPM 的 ESXi 主機。在安全性最佳做法中,您可以輪替 ESXi 安全組態復原金鑰。

必要條件

  • 可以存取 ESXCLI 命令集。您可以遠端執行 ESXCLI 命令,或在 ESXi Shell 中執行。
  • 使用 ESXCLI 獨立版本或透過 PowerCLI 的所需權限:主機.組態.設定

程序

  1. 列出復原金鑰。
  2. 執行下列命令。
    esxcli system settings encryption recovery rotate [-k keyID] -u uuid

    在此命令中,選擇性 keyID 是 VMkernel 金鑰快取中的金鑰識別碼,而 uuid 是復原識別碼 (透過 esxcli system settings encryption recovery list 命令取得)。如果不提供選擇性金鑰識別碼,ESXi 會將舊復原金鑰取代為隨機產生的新復原金鑰。

結果

如果提供,則復原金鑰現已設定為金鑰識別碼所參考金鑰的內容。否則,ESXi 提供新的金鑰識別碼。