Dell VxRail: Zbieranie kluczy odzyskiwania dla węzłów VxRail z obsługą zabezpieczeń modułu TPM
Summary: Ten artykuł zawiera informacje na temat sposobu gromadzenia kluczy odzyskiwania dla węzłów VxRail, które zostały zainicjowane za pomocą modułu TPM i bezpiecznego rozruchu. Jest to najważniejsze informacje, które należy bezpiecznie wyeksportować poza system VxRail dla systemów z obsługą modułu TPM, ponieważ mogą one być potrzebne podczas czynności serwisowych, takich jak wymiana płyty systemowej. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Istnieje wiele sposobów zebrania szyfrowania modułu TPM. Poniżej przedstawiono kilka sugestii, które mogą pomóc w tym proaktywnie, gdy system zostanie zainstalowany z aktywowanym modułem TPM lub przed proaktywną wymianą.
Ogólne oficjalne informacje na ten temat znajdują się w dokumentacji VMware dotyczącej sposobu listowania kluczy zawartości dla przykładu rozwiązania ESXi Security Configuration Recovery
: Wyświetl listę klucza odzyskiwania konfiguracji secure ESXi
Zapisz plik zip, wyodrębnij skrypt i uruchom go z monitu PowerShell/PowerCLI z poniższymi opcjami:
Ogólne oficjalne informacje na ten temat znajdują się w dokumentacji VMware dotyczącej sposobu listowania kluczy zawartości dla przykładu rozwiązania ESXi Security Configuration Recovery
: Wyświetl listę klucza odzyskiwania konfiguracji secure ESXi
[root@host1] esxcli system settings encryption recovery list
Recovery ID Key
-------------------------------------- ---
{2DDD5424-7F3F-406A-8DA8-D62630F6C8BC} 478269-039194-473926-430939-686855-231401-642208-184477-602511
-225586-551660-586542-338394-092578-687140-267425 Alternatywą dla gromadzenia i eksportowania kluczy odzyskiwania modułu TPM dla dużych klastrów wykorzystujących PowerCLI może być załączony skrypt z użyciem zgodnie z poniższym przykładem.
Zapisz plik zip, wyodrębnij skrypt i uruchom go z monitu PowerShell/PowerCLI z poniższymi opcjami:
- -vcenter param musi być dostarczony jako adres IP lub FQDN vCenter
- Należy dostarczyć param vcuser, który powinien być użytkownikiem na poziomie administratora
- -vcpassword param jest opcjonalne, jeśli nie zostało dostarczone, skrypt wyświetli monit/poprosi o to (jest bezpieczniejszy w ten sposób, ale w moim laboratorium łatwiej jest przetestować dodanie hasła)
UWAGA: Nie ma żadnej magic, która może pobrać klucz, gdy host jest już w trybie offline. Jest to aktywne narzędzie, gdy wszystkie hosty są w trybie online.
PS C:\powercli> .\GetTPMRecoveryKeys.ps1 -vcenter *.*.*.* -vcuser administrator@vsphere.local -vcpassword *****
∞ Connecting to provided vCenter x.x.x.x
∞
√ Connected to:
√
√ VCName VCVersion
√ ------ ---------
√ x.x.x.x 7.0.2
√
√
∞ - RDC
∞
∞ - cl01
∞ - esx01.rdc
∞ - Recovery ID:{xxxxxxx-9E3B-42A7-xxxxxxx-E4C180E8BACA}
∞ - Recovery Key:193974-212191-679120-487809-200490-163047-653307-xxxxxxx-044591-621531-432739-xxxxxxx-174648-394385-669925-174640
∞ - Mode: TPM
∞ - Require Executables Only From Installed VIBs: true
∞ - Require Secure Boot: true
∞ - esx02.rdc
∞ - Recovery ID:{xxxxxxx-3DB9-4F8C-xxxxxxx-EC91E9782290}
∞ - Recovery Key:293832-328901-118681-432237-492188-375446-689739-076446-xxxxxxx-330911-097690-348733-350329-xxxxxxx-619754-501857
∞ - Mode: TPM
∞ - Require Executables Only From Installed VIBs: true
∞ - Require Secure Boot: true
∞ - esx03.rdc
∞ - Recovery ID:{xxxxxxx-B4E4-4B1A-xxxxxxx-F71DBB81B6E7}
∞ - Recovery Key:430023-424502-371384-341740-xxxxxxx-709307-578925-153259-682162-231900-583516-122672-xxxxxxx-304009-275146-701353
∞ - Mode: TPM
∞ - Require Executables Only From Installed VIBs: true
∞ - Require Secure Boot: true
∞ - esx04.rdc
∞ - Recovery ID:{xxxxxxx-5420-4CCE-xxxxxxx-F5DDBDB06889}
∞ - Recovery Key:167431-630730-230210-359626-580397-199776-xxxxxxx-577309-191925-221351-191861-xxxxxxx-622205-047984-206484-018858
∞ - Mode: TPM
∞ - Require Executables Only From Installed VIBs: true
∞ - Require Secure Boot: true
∞ - esx05.rdc
∞ - No Key retrieved, Validate TPM settings/config if its expected:
∞ - Mode: NONE
∞ - Require Executables Only From Installed VIBs: false
∞ - Require Secure Boot: false
∞ - esx06.rdc
∞ - No Key retrieved, Validate TPM settings/config if its expected:
∞ - Mode: NONE
∞ - Require Executables Only From Installed VIBs: false
∞ - Require Secure Boot: false
∞ - esx07.rdc
∞ - Recovery ID:{xxxxxxx-E916-41DE-xxxxxxx-0EFA439CAAA6}
∞ - Recovery Key:347578-144805-170128-170921-xxxxxxx-184321-229917-051564-128587-493711-367190-xxxxxxx-682683-335612-344600-352356
∞ - Mode: TPM
∞ - Require Executables Only From Installed VIBs: true
∞ - Require Secure Boot: true
∞ - esx08.rdc
∞ - No Key retrieved, Validate TPM settings/config if its expected:
∞ - Mode: NONE
∞ - Require Executables Only From Installed VIBs: false
∞ - Require Secure Boot: false
∞
∞ Do u wish to export the results as csv (TPMKeysExport.csv)? write y and enter to export.: y
∞ Exporting TPMKeysExport.csv in the script directory.
√ All done.
Przykład dla w pełni skonfigurowanego klastra:
Rysunek 1. Przykład dla w pełni skonfigurowanego klastra:
Additional Information
- Zapoznaj się z artykułem VMware : Zabezpieczanie hostów ESXi za pomocą modułu zaufanej platformy
- Zapoznaj się z artykułem VMware, omówienie zasad uszczelniania modułu TPM
- Zapoznaj się z artykułem VMware : List Content Keys for ESXi Security Configuration Recovery
Affected Products
VxRail Appliance FamilyProducts
VxRail Appliance Series, VxRail SoftwareArticle Properties
Article Number: 000204006
Article Type: How To
Last Modified: 11 Nov 2024
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.