登录 / 注册
AI工具

如何使用TPM安全启动VMware ESXi

概述:在当今的信息技术领域,确保系统的安全性至关重要。VMware ESXi 作为一款强大的虚拟化平台,其安全性更是备受关注。TPM (Trusted Platform Module,可信平台模块)是一种安全芯片,它可以存储加密密钥、密码和数字证书等敏感信息。TPM还可以提供硬件级别的安全启动(Secure Boot)功能,其基于UEFI固件的安全标准确保系统在启动过程中只加载经过加密签名和验证的可信软件。它通过防止未经授权的驱动程序、内核或应用程序启动,有效抵御恶意软件和篡改攻击,确保系统的完整性和安全性。本文以Dell PowerEdge R550安装VMware ESXi8.0 为例,介绍如何使用TPM安全启动ESXi。

前提条件:确保服务器已经安装了兼容的TPM且ESXi的版本是6.7或更高

配置步骤:
第1步,确认服务器的引导模式为UEFI


第2步,启用TPM安全


第3步,配置TPM的加密算法为SHA256


第4步,启用Intel可信执行技术 (TXT) 


第5步,启用安全启动(Secure Boot)


第6步,安装ESXi操作系统,具体步骤参考:《如何在服务器上安装VMware ESXi


第7步,安装完毕后,正常引导进入ESXi



第8步,备份安全启动的恢复密钥
(1) 访问ESXi的命令行,具体步骤参考:《如何开启VMware ESXi的SSH和Shell服务
(2) 运行如下命令查看ESXi安全启动的运行状态
[root@localhost:~] esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
(3)运行如下命令查看安全启动的恢复密钥(Recovery Key)(强烈建议手动将恢复密钥保存到安全的地方)
[root@localhost:~] esxcli system settings encryption recovery list
Recovery ID Key
————————————– —
{B7A9CF47-BEC9-46E8-B891-E7BF336C1A7F} 697983-303920-212247-101159-049724-088148-668025-284599-379662-100769-376562-434500-278125-149668-388743-505003
[root@localhost:~]


第9步,备份BIOS的设置
如果是戴尔PowerEdge服务器可以借助Easy Restore功能实现更换主板前后BIOS的设置是一致的。
Easy Restore 功能允许您在更换系统主板后还原系统的服务编号、许可证、UEFI 配置和系统配置数据(BIOS、iDRAC和NIC)。所有数据将自动备份到备份闪存设备中。如果 BIOS 检测到新的系统主板和备份闪存设备中的服务编号,BIOS 会提示用户恢复备份信息。
https://www.dell.com/support/kbdoc/zh-cn/000142633/
注意:
(1)开启了安全加密启动的ESXi,如需更换服务器主板或TPM等硬件,需要在更换完后确保BIOS设置和更换前一致,且在引导ESXi的过程需要按shift+o中输入备份的恢复密钥(Recovery Key)


encryptionRecoveryKey=xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx


如果出现:BIOS设置不一致(例如,未启用TPM)、未输入恢复密钥或者输入错误的恢复密钥等情况,ESXi将无法正常引导并伴随如下紫屏报错
The system has found a problem on your machine and cannot continue.
Unable to restore the system configuration. A security violation was detected. https://via.wmw.com/security-violation


(2)如果忘记或者未备份恢复密钥,那么只能重装ESXi系统。
(3)VMware ESXi 7.0U2以及更高的版本一旦开启TPM加密后就不支持不支持关闭,详见VMware官方手册说明:
如果在安装或升级到 vSphere 7.0 Update 2 或更高版本时未激活 TPM,则可以稍后使用以下命令进行激活。激活 TPM 后,您将无法撤消该设置。
https://docs.vmware.com/cn/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-82C6B841-8B38-4D7D-8EFA-83AB1605F59D.html

原文链接:如何使用TPM安全启动VMware ESXi

https://www.aliyun.com/daily-act/ecs/activity_selection?userCode=h3kw1ira
【阿里云】2核2G云服务器新老同享99元/年
https://cloud.tencent.com/act/cps/redirect?redirect=6150&cps_key=9fcdfc2c29dcb52d7c5a549918ec0fef&from=console
https://vexpert.vmware.com/directory/12088/vexpert-badge-year.png

有VM问题需要协助?

免费试用VMware技术助理(已接Deepseek)!即时解答VM难题

→ 🤖VM技术助理

解析和诊断各类vCenter错误,ESXi日志,虚拟机vmware.log

→ 📕VMware日志分析器

图书推介 - 京东自营

Kubernetes权威指南:从Docker到Kubernetes实践全接触(第6版)
VMware vSphere 虚拟化与企业运维从基础到实战
鸟哥的Linux私房菜 基础学习篇 第四版 Linux教程
打通Linux操作系统和芯片开发
玩转虚拟机——基于VMware+Windows(第二版)(名师手把手系列)

24小时热门

还有更多VMware问题?

免费试下我们的VMware技术助理(已接Deepseek)!即时解答VM难题 → 🤖VM技术助理

试试 📕VMware日志分析器 免费诊断各类vCenter错误,ESXi日志,虚拟机vmware.log等等

########

扫码加入VM资源共享交流微信群(请备注加群

https://cloud.tencent.com/act/cps/redirect?redirect=5990&cps_key=9fcdfc2c29dcb52d7c5a549918ec0fef&from=console

需要协助?或者只是想技术交流一下,直接联系我们!

联系我们

推荐更多

VMware vSphere:Hypervisor(免费版ESXi)又复活了,自带许可密钥且永久免费使用
运维必备

VMware vSphere:Hypervisor(免费版ESXi)又复活了,自带许可密钥且永久免费使用

VMware曾宣布停止提供免费ESXi版本,但在被博通收购后,vSphere Hypervisor又重新上线并开放下载,安装后自带激活许可,永久免费使用。本文介绍了vSphere Hypervisor与ESXi的区别、使用场景、详细下载与安装步骤,并说明如何升级为完整版ESXi,适合初学者和轻量级虚拟化用户参考。

reallybear 2025-06-24
如何在ESXi主机上安装RACADM
运维必备

如何在ESXi主机上安装RACADM

本文介绍了如何在VMware ESXi主机上安装并使用Dell PowerEdge服务器的iDRAC命令行工具RACADM。包括如何上传安装包、执行安装命令、验证安装结果,并介绍常用的RACADM命令。适合需要通过命令行管理Dell服务器的IT管理员或运维人员。

reallybear 2025-06-11
vCenter内部版本号对照表(2025年最新)| vCenter各版本构建号对照表
运维必备

vCenter内部版本号对照表(2025年最新)| vCenter各版本构建号对照表

本文整理了 VMware vCenter Server 各版本号与 Build 编号对照表,包括 vCenter 8.0、7.0、6.7 等版本的 发布名称(Release Name)、发布日期(Release Date),以及每个版本是否提供 ISO 安装镜像或 Patch 补丁。适用于需要快速查询 vCenter Build Number、vCenter 升级路径、vSphere 管理版本对应关系 的用户,帮助 IT 运维判断当前系统状态、下载正确版本资源,提升管理效率。

simon 2025-06-10

©2022-2025 | 关于我们联系我们欢迎投稿隐私政策粤ICP备2023009824号-2 | All Rights Reserved.

//madurird.com/4/9119499