Alerty:
- Host TPM attestation alarm
- TPM Encryption Recovery Key Backup Alarm
- TPM 2.0 device detected but a connection cannot be established
Rozwiązanie:
Aby rozpocząć pracę z TPM na ESXI należy przed przystąpieniem do jakichkolwiek czynności sprawdzić czy bez problemów da się włączyć spokojnie TPM.
Na każdym hoście w klastrze w którym chcemy wdrożyć TPM musimy z SSH wykonać polecenie:
/usr/lib/vmware/secureboot/bin/secureBoot.py -c
Skrypt sprawdzi czy można bezpiecznie uruchomić secure boot na hoście ESXi.
Skrypt zwraca „Secure boot can be enabled” lub „Secure boot CANNOT be enabled”. Dodatkowo jeśli nie jest możliwe włączenie secure boot wyświetli które vib nie zezwalają na uruchomienie secure boot.
Jeśli skrypt zwróci, że nie można włączyć secure boot i to wina vib, i zdecydujemy się włączyć secure boot dostaniemy Purple Screen of Dead 😉
Natomiast jeśli wszystko jest ok możemy przejść do iDRACa hosta.
Należy wykonać/sprawdzić:
- ESXi musi korzystać z UEFI
- Należy włączyć TPM
3. Zapisujemy zmiany i wykonujemy restart hosta. Po restarcie wchodzimy ponownie do tego samego miejsca i dokańczamy konfigurację:
Po wykonaniu tych kroków musimy rozłączyć hosta od vCenter i ponownie podłączyć.
W obiekcie vCenter w zakładce monitor przechodzmy do security i sprawdzamy status:
