您可以選擇啟用 UEFI 安全開機強制執行,或停用先前啟用的 UEFI 安全開機強制執行。必須使用 ESXCLI,才能變更 ESXi 主機上 TPM 中的設定。

此工作僅適用於具有 TPM 的 ESXi 主機。UEFI 安全開機是一種韌體設定,用於確保由韌體啟動的軟體受到信任。每次開機後,都可以使用 TPM 強制啟用 UEFI 安全開機。

必要條件

  • 可以存取 ESXCLI 命令集。您可以遠端執行 ESXCLI 命令,或在 ESXi Shell 中執行。
  • 使用 ESXCLI 獨立版本或透過 PowerCLI 的所需權限:主機.組態.設定

程序

  1. 列出 ESXi 主機上的目前設定。
    esxcli system settings encryption get
       Mode: TPM
       Require Executables Only From Installed VIBs: false
       Require Secure Boot: true
    如果安全開機強制執行已啟用,則 [需要安全開機] 會顯示為 true。如果安全開機強制執行已停用,則 [需要安全開機] 會顯示為 false。
    如果模式顯示為 NONE,您必須在主機的韌體中啟用 TPM,並透過執行以下命令設定模式:
    esxcli system settings encryption set --mode=TPM
  2. 啟用或停用安全開機強制執行。
    選項 說明
    啟用
    1. 正常關閉主機。

      例如,在 vSphere Client 中的 ESXi 主機上按一下滑鼠右鍵,然後選取電源 > 關閉

    2. 在主機的韌體中啟用安全開機。

      請參閱特定的廠商硬體說明文件。

    3. 重新啟動主機。
    4. 執行下列 ESXCLI 命令。
      esxcli system settings encryption set --require-secure-boot=T
    5. 驗證變更。
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: true

      確認 [需要安全開機] 顯示為 true。

    6. 若要儲存設定,請執行下列命令。
      /sbin/auto-backup.sh
    停用
    1. 執行下列 ESXCLI 命令。
      esxcli system settings encryption set --require-secure-boot=F
    2. 驗證變更。
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: false

      確認 [需要安全開機] 顯示為 false。

    3. 若要儲存設定,請執行下列命令。
      /sbin/auto-backup.sh

      您可以選擇在主機的韌體中停用安全開機,但此時無法再設定韌體設定和 TPM 強制執行之間的相依性。

結果

ESXi 主機會在啟用或停用安全開機強制執行的情況下執行,視您的選擇而定。
備註:
如果在安裝或升級至 vSphere 7.0 Update 2 或更新版本時未啟用 TPM,可以稍後使用下列命令執行此操作。
esxcli system settings encryption set --mode=TPM
啟用 TPM 後,便無法復原設定。

即使為主機啟用了 TPM,esxcli system settings encryption set 命令也會在某些 TPM 上失敗。

  • 在 vSphere 7.0 Update 2 中:來自 NationZ (NTZ) 的 TPM、來自 Infineon Technologies (IFX) 的 TPM 以及來自 Nuvoton Technologies Corporation (NTC) 的某些新型號 (例如 NPCT75x)
  • 在 vSphere 7.0 Update 3 中:來自 NationZ (NTZ) 的 TPM

如果安裝或升級 vSphere 7.0 Update 2 或更新版本在首次開機期間無法使用 TPM,則安裝或升級將繼續,並且模式預設為 [無] (即,--mode=NONE)。由此產生的行為就像未啟用 TPM 一樣。