可以使用 ESXCLI 命令列出安全 ESXi 組態復原金鑰、輪替復原金鑰,以及變更 TPM 原則 (例如,強制執行 UEFI 安全開機)。
列出安全 ESXi 組態復原金鑰的內容
可以使用 ESXCLI 顯示安全 ESXi 組態復原金鑰的內容。
必要條件
- 可以存取 ESXCLI 命令集。您可以遠端執行 ESXCLI 命令,或在 ESXi Shell 中執行。
- 使用 ESXCLI 獨立版本或透過 PowerCLI 的所需權限:
程序
結果
此時會顯示復原金鑰識別碼和金鑰。
範例: 列出安全 ESXi 組態復原金鑰
[root@host1] esxcli system settings encryption recovery list Recovery ID Key -------------------------------------- --- {2DDD5424-7F3F-406A-8DA8-D62630F6C8BC} 478269-039194-473926-430939-686855-231401-642208-184477-602511 -225586-551660-586542-338394-092578-687140-267425
輪替安全 ESXi 組態復原金鑰
可以使用 ESXCLI 輪替安全 ESXi 組態復原金鑰。
必要條件
- 可以存取 ESXCLI 命令集。您可以遠端執行 ESXCLI 命令,或在 ESXi Shell 中執行。
- 使用 ESXCLI 獨立版本或透過 PowerCLI 的所需權限:
程序
結果
如果提供,則復原金鑰現已設定為金鑰識別碼所參考金鑰的內容。否則,ESXi 提供新的金鑰識別碼。
安全 ESXi 組態的疑難排解和復原
您可以對可能遇到的安全 ESXi 組態的開機問題進行疑難排解和復原。
如果清除了 TPM (即重設 TPM 中的種子值),或者 TPM 失敗,或者您無法更換主機板和/或 TPM 裝置,則必須採取步驟來復原 ESXi 安全組態。您必須具有復原金鑰,才能復原組態。在復原組態之前,ESXi 主機將無法開機。請參閱復原安全 ESXi 組態。
雖然此情況並不常見,但 ESXi 主機可能無法還原或解密安全組態,從而使主機無法開機。可能的情況包括:
- 變更為安全開機設定 (或其他原則)
- 實際竄改
- 復原金鑰無法使用
若要對這些狀況進行疑難排解,請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/81446。
復原安全 ESXi 組態
如果 TPM 出現故障或如果您清除 TPM,則必須復原安全 ESXi 組態。在復原組態之前,ESXi 主機將無法開機。
- 已清除 TPM (即,TPM 中的種子已重設)。
- TPM 出現了故障。
- 您已更換主機板和/或 TPM 裝置。
若要對其他安全 ESXi 組態問題進行疑難排解,請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/81446。
手動執行復原。請勿在執行安裝或升級指令碼的過程中進行復原。
必要條件
程序
下一步
輸入復原金鑰時,該金鑰會暫時顯示在不受信任的環境中,並且位於記憶體中。儘管並非必要,但最佳做法是透過將主機重新開機從記憶體中移除金鑰的殘留痕跡。或者,可以輪替金鑰。請參閱輪替安全 ESXi 組態復原金鑰。
啟用或停用安全開機強制執行以確保安全的 ESXi 組態
您可以選擇啟用 UEFI 安全開機強制執行,或停用先前啟用的 UEFI 安全開機強制執行。必須使用 ESXCLI,才能變更 ESXi 主機上 TPM 中的設定。
此工作僅適用於具有 TPM 的 ESXi 主機。UEFI 安全開機是一種韌體設定,用於確保由韌體啟動的軟體受到信任。若要瞭解詳細資訊,請參閱ESXi 主機的 UEFI 安全開機。每次開機後,都可以使用 TPM 強制啟用 UEFI 安全開機。
必要條件
- 可以存取 ESXCLI 命令集。您可以遠端執行 ESXCLI 命令,或在 ESXi Shell 中執行。
- 使用 ESXCLI 獨立版本或透過 PowerCLI 的所需權限:
程序
結果
esxcli system settings encryption set --mode=TPM啟用 TPM 後,便無法復原設定。
即使為主機啟用了 TPM,esxcli system settings encryption set
命令也會在某些 TPM 上失敗。
- 在 vSphere 7.0 Update 2 中:來自 NationZ (NTZ) 的 TPM、來自 Infineon Technologies (IFX) 的 TPM 以及來自 Nuvoton Technologies Corporation (NTC) 的某些新型號 (例如 NPCT75x)
- 在 vSphere 7.0 Update 3 中:來自 NationZ (NTZ) 的 TPM
如果安裝或升級 vSphere 7.0 Update 2 或更新版本在首次開機期間無法使用 TPM,則安裝或升級將繼續,並且模式預設為 [無] (即,--mode=NONE
)。由此產生的行為就像未啟用 TPM 一樣。
啟用或停用 execInstalledOnly 強制執行以確保安全的 ESXi 組態
您可以選擇啟用 execInstalledOnly 強制執行,或停用先前啟用的 execInstalledOnly 強制執行。必須使用 ESXCLI,才能變更 ESXi 主機上 TPM 中的設定。必須先啟用 UEFI 安全開機強制執行,然後才能啟用 execInstalledOnly 強制執行。
此工作僅適用於具有 TPM 的 ESXi 主機。execInstalledOnly 進階 ESXi 開機選項設定為 TRUE 時,可保證 VMkernel 僅執行作為 VIB 一部分進行封裝和簽署的二進位檔案。每次開機後,都可以使用 TPM 強制啟用此開機選項。
必要條件
- 若要啟用 execInstalledOnly 強制執行,您必須先啟用 UEFI 安全開機強制執行。execInstalledOnly 強制執行建立於 UEFI 安全開機強制執行之上。請參閱啟用或停用安全開機強制執行以確保安全的 ESXi 組態。
- 可以存取 ESXCLI 命令集。您可以遠端執行 ESXCLI 命令,或在 ESXi Shell 中執行。
- 使用 ESXCLI 獨立版本或透過 PowerCLI 的所需權限:
程序
結果
ESXi 主機會在啟用或停用 execInstalledOnly 強制執行的情況下執行,視您的選擇而定。