使用信賴平台模組保護 ESXi 主機

ESXi 主機可以使用信賴平台模組 (TPM) 晶片，這是安全的密碼處理器，可透過提供以硬體 (而非軟體) 為基礎的信任保證來增強主機安全性。

什麼是 TPM

TPM 是安全密碼處理器的業界標準。如今，大多數電腦 (從筆記型電腦到桌上型電腦，再到伺服器) 中都含 TPM 晶片。vSphere 6.7 及更新版本支援 TPM 2.0 版。

TPM 2.0 晶片證明主機的 ESXi 身分。主機證明是驗證和證明在指定時間點主機上軟體狀態的程序。UEFI 安全開機 (可確保在開機時僅載入簽署的軟體) 是成功證明的需求。TPM 2.0 晶片記錄並安全地儲存在系統中開機並由 vCenter Server 在遠端確認的軟體模組測量值。

遠端證明程序的高層級步驟如下：

建立遠端 TPM 的可信度，並在其上建立證明金鑰 (AK)。
將 ESXi 主機新增至 vCenter Server、從中重新開機該主機，或將該主機重新連線至它時，vCenter Server 會從主機要求 AK。部分 AK 建立程序也涉及驗證 TPM 硬體本身，以確保已知 (及受信任) 廠商已生產此硬體。
從主機擷取證明報告。
vCenter Server 要求主機傳送由 TPM 簽署的證明報告 (其中包含平台設定暫存器 (PCR) 的引述)，及其他簽署的主機二進位檔中繼資料。透過檢查被認定為受信任的組態對應資訊，vCenter Server 可識別先前不受信任的主機上的平台。
驗證主機的真實性。
vCenter Server 驗證已簽署引述的真實性、推斷軟體版本，並判斷前述軟體版本的可信度。如果 vCenter Server 判定已簽署引述無效，則遠端證明會失敗，並且主機不受信任。

若要使用 TPM 2.0 晶片，您的 vCenter Server 環境必須符合下列需求：

確保在 ESXi 主機的 BIOS 中設定 TPM，以使用 SHA-256 雜湊演算法和 TIS/FIFO (先進先出) 介面，而非 CRB (命令回應緩衝區)。如需設定這些必要 BIOS 選項的相關資訊，請參閱廠商說明文件。

在下列位置檢閱經過 VMware 認證的 TPM 2.0 晶片：

將已安裝 TPM 2.0 晶片的 ESXi 主機開機時，vCenter Server 將監控主機的證明狀態。若要檢視硬體信任狀態，請在 vSphere Client 中選取 vCenter Server，然後選取監控下的摘要索引標籤。硬體信任狀態有以下幾種：

備註：如果您將 TPM 2.0 晶片新增到已由 vCenter Server 管理的 ESXi 主機，必須先中斷主機連線，再重新連線。如需中斷連線和重新連線主機的相關資訊，請參閱 vCenter Server 和主機管理說明文件。

在 vSphere 7.0 及更新版本中，VMware^® vSphere Trust Authority™ 為 ESXi 主機使用遠端證明功能。請參閱什麼是 vSphere Trust Authority 證明服務。

新增至 ESXi 主機時，信賴平台模組 2.0 相容晶片會證明平台的完整性。您可以在 vSphere Client 中檢視主機的證明狀態。您也可以檢視 Intel Trusted Execution Technology (TXT) 狀態。

對於 [失敗] 或 [警告] 證明狀態，請參閱疑難排解 ESXi 主機證明問題。對於受信任的主機，請參閱對受信任主機證明問題進行疑難排解。

當您在 ESXi 主機上安裝信賴平台模組 (TPM) 裝置時，主機可能無法通過證明。您可以疑難排解此問題的潛在原因。