登录 / 注册
AI工具

如何使用TPM安全启动VMware ESXi

概述:在当今的信息技术领域,确保系统的安全性至关重要。VMware ESXi 作为一款强大的虚拟化平台,其安全性更是备受关注。TPM (Trusted Platform Module,可信平台模块)是一种安全芯片,它可以存储加密密钥、密码和数字证书等敏感信息。TPM还可以提供硬件级别的安全启动(Secure Boot)功能,其基于UEFI固件的安全标准确保系统在启动过程中只加载经过加密签名和验证的可信软件。它通过防止未经授权的驱动程序、内核或应用程序启动,有效抵御恶意软件和篡改攻击,确保系统的完整性和安全性。本文以Dell PowerEdge R550安装VMware ESXi8.0 为例,介绍如何使用TPM安全启动ESXi。

前提条件:确保服务器已经安装了兼容的TPM且ESXi的版本是6.7或更高

配置步骤:
第1步,确认服务器的引导模式为UEFI


第2步,启用TPM安全


第3步,配置TPM的加密算法为SHA256


第4步,启用Intel可信执行技术 (TXT) 


第5步,启用安全启动(Secure Boot)


第6步,安装ESXi操作系统,具体步骤参考:《如何在服务器上安装VMware ESXi


第7步,安装完毕后,正常引导进入ESXi



第8步,备份安全启动的恢复密钥
(1) 访问ESXi的命令行,具体步骤参考:《如何开启VMware ESXi的SSH和Shell服务
(2) 运行如下命令查看ESXi安全启动的运行状态
[root@localhost:~] esxcli system settings encryption get
Mode: TPM
Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
(3)运行如下命令查看安全启动的恢复密钥(Recovery Key)(强烈建议手动将恢复密钥保存到安全的地方)
[root@localhost:~] esxcli system settings encryption recovery list
Recovery ID Key
————————————– —
{B7A9CF47-BEC9-46E8-B891-E7BF336C1A7F} 697983-303920-212247-101159-049724-088148-668025-284599-379662-100769-376562-434500-278125-149668-388743-505003
[root@localhost:~]


第9步,备份BIOS的设置
如果是戴尔PowerEdge服务器可以借助Easy Restore功能实现更换主板前后BIOS的设置是一致的。
Easy Restore 功能允许您在更换系统主板后还原系统的服务编号、许可证、UEFI 配置和系统配置数据(BIOS、iDRAC和NIC)。所有数据将自动备份到备份闪存设备中。如果 BIOS 检测到新的系统主板和备份闪存设备中的服务编号,BIOS 会提示用户恢复备份信息。
https://www.dell.com/support/kbdoc/zh-cn/000142633/
注意:
(1)开启了安全加密启动的ESXi,如需更换服务器主板或TPM等硬件,需要在更换完后确保BIOS设置和更换前一致,且在引导ESXi的过程需要按shift+o中输入备份的恢复密钥(Recovery Key)


encryptionRecoveryKey=xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx


如果出现:BIOS设置不一致(例如,未启用TPM)、未输入恢复密钥或者输入错误的恢复密钥等情况,ESXi将无法正常引导并伴随如下紫屏报错
The system has found a problem on your machine and cannot continue.
Unable to restore the system configuration. A security violation was detected. https://via.wmw.com/security-violation


(2)如果忘记或者未备份恢复密钥,那么只能重装ESXi系统。
(3)VMware ESXi 7.0U2以及更高的版本一旦开启TPM加密后就不支持不支持关闭,详见VMware官方手册说明:
如果在安装或升级到 vSphere 7.0 Update 2 或更高版本时未激活 TPM,则可以稍后使用以下命令进行激活。激活 TPM 后,您将无法撤消该设置。
https://docs.vmware.com/cn/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-82C6B841-8B38-4D7D-8EFA-83AB1605F59D.html

原文链接:如何使用TPM安全启动VMware ESXi

https://www.aliyun.com/daily-act/ecs/activity_selection?userCode=h3kw1ira
【阿里云】2核2G云服务器新老同享99元/年
https://cloud.tencent.com/act/cps/redirect?redirect=6150&cps_key=9fcdfc2c29dcb52d7c5a549918ec0fef&from=console
https://vexpert.vmware.com/directory/12088/vexpert-badge-year.png

图书推介 - 京东自营

Kubernetes权威指南:从Docker到Kubernetes实践全接触(第6版)
VMware vSphere 虚拟化与企业运维从基础到实战
鸟哥的Linux私房菜 基础学习篇 第四版 Linux教程
打通Linux操作系统和芯片开发
玩转虚拟机——基于VMware+Windows(第二版)(名师手把手系列)

24小时热门

还有更多VMware问题?

免费试下我们的VMware技术助理(已接Deepseek)!即时解答VM难题 → 🤖VM技术助理


########

扫码加入VM资源共享交流微信群(请备注加群

https://cloud.tencent.com/act/cps/redirect?redirect=5990&cps_key=9fcdfc2c29dcb52d7c5a549918ec0fef&from=console

需要协助?或者只是想技术交流一下,直接联系我们!

联系我们

推荐更多

VMware Workstation:如何让虚拟机仅连接宿主机的WiFi网络
VMware快速入门

VMware Workstation:如何让虚拟机仅连接宿主机的WiFi网络

本文详解如何在 VMware Workstation 中将虚拟机网络设置为仅桥接宿主机的 WiFi 网卡,避免连接有线或其他网络。通过虚拟网络编辑器精准选择无线网卡,实现网络隔离与灵活测试环境。适用于有 WiFi 网络测试需求的虚拟化用户和开发者。

reallybear 2025-04-21
VMware vSphere等产品非永久许可过期和试用期到期会出现什么问题?
VMware快速入门

VMware vSphere等产品非永久许可过期和试用期到期会出现什么问题?

本文介绍了VMware vSphere(ESXi、vCenter Server、vSAN)在非永久许可证(试用评估期或订阅型许可)到期后,会出现主机断开连接、虚拟机无法启动或修改、新存储无法添加等功能限制。建议用户提前关注到期提醒,及时续订或更换订阅型许可,确保生产环境稳定运行。

reallybear 2025-04-10
如何在服务器上安装VMware ESXi(戴尔服务器安装ESXi7.0全面教程)
运维必备

如何在服务器上安装VMware ESXi(戴尔服务器安装ESXi7.0全面教程)

本文以戴尔 PowerEdge R640 为例,详细介绍了安装 VMware ESXi 7.0 的全过程。文章涵盖了从下载OEM镜像、确认硬件配置到通过iDRAC映射ISO、设置虚拟光驱启动及配置管理IP地址的每个关键步骤。通过实战操作指南,读者可以轻松掌握ESXi安装及后续配置的所有细节。该教程旨在帮助用户提高服务器部署效率和系统安全性。

reallybear 2025-04-03
如何在Broadcom网站查找IO驱动程序
VMware快速入门

如何在Broadcom网站查找IO驱动程序

自 2024 年 5 月 6 日起,Broadcom 支持门户已取代 VMware Customer Connect 作为 vSphere 及 IO 驱动的下载平台。本文详细介绍如何在 Broadcom 兼容性指南(BCG)中查找设备对应的驱动,并通过 Broadcom 支持网站下载所需的 ESXi 驱动程序。通过本指南,您可以高效获取适用于 ESXi 6.x/7.x/8.x 的 IO 驱动,确保系统兼容性与稳定性。

simon 2025-04-01

©2022-2025 | 关于我们联系我们加入我们隐私政策粤ICP备2023009824号-2 | All Rights Reserved.

//madurird.com/4/9119499