ESXi 主機可以使用信賴平台模組 (TPM) 晶片,這是安全的密碼處理器,可透過提供以硬體 (而非軟體) 為基礎的信任保證來增強主機安全性。

什麼是 TPM

TPM 是安全密碼處理器的業界標準。如今,大多數電腦 (從筆記型電腦到桌上型電腦,再到伺服器) 中都含 TPM 晶片。vSphere 6.7 及更新版本支援 TPM 2.0 版。

TPM 2.0 晶片證明主機的 ESXi 身分。主機證明是驗證和證明在指定時間點主機上軟體狀態的程序。UEFI 安全開機 (可確保在開機時僅載入簽署的軟體) 是成功證明的需求。TPM 2.0 晶片記錄並安全地儲存在系統中開機並由 vCenter Server 在遠端確認的軟體模組測量值。

遠端證明程序的高層級步驟如下:

  1. 建立遠端 TPM 的可信度,並在其上建立證明金鑰 (AK)。

    ESXi 主機新增至 vCenter Server、從中重新開機該主機,或將該主機重新連線至它時,vCenter Server 會從主機要求 AK。部分 AK 建立程序也涉及驗證 TPM 硬體本身,以確保已知 (及受信任) 廠商已生產此硬體。

  2. 從主機擷取證明報告。

    vCenter Server 要求主機傳送由 TPM 簽署的證明報告 (其中包含平台設定暫存器 (PCR) 的引述),及其他簽署的主機二進位檔中繼資料。透過檢查被認定為受信任的組態對應資訊,vCenter Server 可識別先前不受信任的主機上的平台。

  3. 驗證主機的真實性。

    vCenter Server 驗證已簽署引述的真實性、推斷軟體版本,並判斷前述軟體版本的可信度。如果 vCenter Server 判定已簽署引述無效,則遠端證明會失敗,並且主機不受信任。

使用 TPM 時有哪些 vSphere 需求?

若要使用 TPM 2.0 晶片,您的 vCenter Server 環境必須符合下列需求:

  • vCenter Server 6.7 或更新版本
  • 已在 UEFI 中安裝並啟用 TPM 2.0 晶片的 ESXi 6.7 或更新版本主機
  • 已啟用 UEFI 安全開機

確保在 ESXi 主機的 BIOS 中設定 TPM,以使用 SHA-256 雜湊演算法和 TIS/FIFO (先進先出) 介面,而非 CRB (命令回應緩衝區)。如需設定這些必要 BIOS 選項的相關資訊,請參閱廠商說明文件。

在下列位置檢閱經過 VMware 認證的 TPM 2.0 晶片:

https://www.vmware.com/resources/compatibility/search.php

使用 TPM 開機主機時會發生什麼情況?

將已安裝 TPM 2.0 晶片的 ESXi 主機開機時,vCenter Server 將監控主機的證明狀態。若要檢視硬體信任狀態,請在 vSphere Client 中選取 vCenter Server,然後選取監控下的摘要索引標籤。硬體信任狀態有以下幾種:

  • 綠色:正常狀態,表示完全信任。
  • 紅色:證明失敗。
備註: 如果您將 TPM 2.0 晶片新增到已由 vCenter Server 管理的 ESXi 主機,必須先中斷主機連線,再重新連線。如需中斷連線和重新連線主機的相關資訊,請參閱 vCenter Server 和主機管理說明文件。

在 vSphere 7.0 及更新版本中,VMware® vSphere Trust Authority™ 為 ESXi 主機使用遠端證明功能。請參閱什麼是 vSphere Trust Authority 證明服務

檢視 ESXi 主機證明狀態

新增至 ESXi 主機時,信賴平台模組 2.0 相容晶片會證明平台的完整性。您可以在 vSphere Client 中檢視主機的證明狀態。您也可以檢視 Intel Trusted Execution Technology (TXT) 狀態。

程序

  1. 透過使用 vSphere Client 連線至 vCenter Server
  2. 導覽至資料中心,然後按一下監控索引標籤。
  3. 按一下安全性
  4. 檢閱 [證明] 資料行中主機的狀態,並閱讀訊息資料行中隨附的訊息。
  5. 如果此主機是受信任的主機,請參閱檢視受信任叢集證明狀態以取得詳細資訊。

下一步

對於 [失敗] 或 [警告] 證明狀態,請參閱疑難排解 ESXi 主機證明問題。對於受信任的主機,請參閱對受信任主機證明問題進行疑難排解

疑難排解 ESXi 主機證明問題

當您在 ESXi 主機上安裝信賴平台模組 (TPM) 裝置時,主機可能無法通過證明。您可以疑難排解此問題的潛在原因。

程序

  1. 檢視 ESXi 主機警示狀態和隨附的錯誤訊息。請參閱檢視 ESXi 主機證明狀態
  2. 如果錯誤訊息為主機安全開機已停用,您必須重新啟用安全開機來解決此問題。
  3. 如果主機的證明狀態為失敗,請查看 vCenter Server vpxd.log 檔案中的下列訊息:
    No cached identity key, loading from DB
    此訊息指出您正在將 TPM 2.0 晶片新增到已由 vCenter Server 管理的 ESXi 主機。您必須先中斷主機連線,再重新連線。如需中斷連線和重新連線主機的相關資訊,請參閱 vCenter Server 和主機管理說明文件。
    如需有關 vCenter Server 記錄檔 (包括位置和記錄輪替) 的詳細資訊,請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/1021804
  4. 如需所有其他錯誤訊息,請連絡客戶支援部門。