您可以選擇啟用 UEFI 安全開機強制執行,或停用先前啟用的 UEFI 安全開機強制執行。必須使用 ESXCLI,才能變更 ESXi 主機上 TPM 中的設定。
此工作僅適用於具有 TPM 的 ESXi 主機。UEFI 安全開機是一種韌體設定,用於確保由韌體啟動的軟體受到信任。每次開機後,都可以使用 TPM 強制啟用 UEFI 安全開機。
必要條件
- 可以存取 ESXCLI 命令集。您可以遠端執行 ESXCLI 命令,或在 ESXi Shell 中執行。
- 使用 ESXCLI 獨立版本或透過 PowerCLI 的所需權限:
程序
- 列出 ESXi 主機上的目前設定。
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true
如果安全開機強制執行已啟用,則 [需要安全開機] 會顯示為 true。如果安全開機強制執行已停用,則 [需要安全開機] 會顯示為 false。
如果模式顯示為 NONE,您必須在主機的韌體中啟用 TPM,並透過執行以下命令設定模式:
esxcli system settings encryption set --mode=TPM
- 啟用或停用安全開機強制執行。
| 選項 |
說明 |
| 啟用 |
- 正常關閉主機。
例如,在 vSphere Client 中的 ESXi 主機上按一下滑鼠右鍵,然後選取。
- 在主機的韌體中啟用安全開機。
請參閱特定的廠商硬體說明文件。
- 重新啟動主機。
- 執行下列 ESXCLI 命令。
esxcli system settings encryption set --require-secure-boot=T
- 驗證變更。
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: true 確認 [需要安全開機] 顯示為 true。
- 若要儲存設定,請執行下列命令。
/sbin/auto-backup.sh
|
| 停用 |
- 執行下列 ESXCLI 命令。
esxcli system settings encryption set --require-secure-boot=F
- 驗證變更。
esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
Require Secure Boot: false 確認 [需要安全開機] 顯示為 false。
- 若要儲存設定,請執行下列命令。
/sbin/auto-backup.sh 您可以選擇在主機的韌體中停用安全開機,但此時無法再設定韌體設定和 TPM 強制執行之間的相依性。
|
結果
ESXi 主機會在啟用或停用安全開機強制執行的情況下執行,視您的選擇而定。
備註:
如果在安裝或升級至 vSphere 7.0 Update 2 或更新版本時未啟用 TPM,可以稍後使用下列命令執行此操作。
esxcli system settings encryption set --mode=TPM
啟用 TPM 後,便無法復原設定。
即使為主機啟用了 TPM,esxcli system settings encryption set 命令也會在某些 TPM 上失敗。
- 在 vSphere 7.0 Update 2 中:來自 NationZ (NTZ) 的 TPM、來自 Infineon Technologies (IFX) 的 TPM 以及來自 Nuvoton Technologies Corporation (NTC) 的某些新型號 (例如 NPCT75x)
- 在 vSphere 7.0 Update 3 中:來自 NationZ (NTZ) 的 TPM
如果安裝或升級 vSphere 7.0 Update 2 或更新版本在首次開機期間無法使用 TPM,則安裝或升級將繼續,並且模式預設為 [無] (即,--mode=NONE)。由此產生的行為就像未啟用 TPM 一樣。
