Dell VxRail: So erfassen Sie die Wiederherstellungsschlüssel für TPM-sicherheitsfähige VxRail-Nodes
Zusammenfassung: Dieser Artikel enthält Optionen zum Erfassen der Wiederherstellungsschlüssel für VxRail-Nodes, die mit TPM und secure boot initialisiert wurden. Dies sind wichtige Informationen, die für TPM-fähige Systeme sicher außerhalb des VxRail-Systems exportiert werden müssen, da diese Schlüssel bei Serviceaktivitäten wie dem Austausch der Systemplatine benötigt werden können. ...
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Weisungen
Es gibt mehrere Möglichkeiten, die TPM-Verschlüsselung zu erfassen. Im Folgenden finden Sie einige Vorschläge, die Ihnen dabei helfen können, dies proaktiv zu tun, wenn ein System mit aktivierter TPM-Installation oder vor einem proaktiven Austausch installiert wird.
Die offizielle Allgemeine Referenz hierfür finden Sie in der VMware-Dokumentation zum Auflisten von Contentschlüsseln für esXi Security Configuration Recovery
Beispiel: Auflisten des Sicheren ESXi-Konfigurationswiederherstellungsschlüssels
Speichern Sie die ZIP-Datei, extrahieren Sie das Skript und führen Sie es über eine PowerShell/PowerCLI-Eingabeaufforderung mit den folgenden Optionen aus:
Die offizielle Allgemeine Referenz hierfür finden Sie in der VMware-Dokumentation zum Auflisten von Contentschlüsseln für esXi Security Configuration Recovery
Beispiel: Auflisten des Sicheren ESXi-Konfigurationswiederherstellungsschlüssels
[root@host1] esxcli system settings encryption recovery list
Recovery ID Key
-------------------------------------- ---
{2DDD5424-7F3F-406A-8DA8-D62630F6C8BC} 478269-039194-473926-430939-686855-231401-642208-184477-602511
-225586-551660-586542-338394-092578-687140-267425 Eine Alternative zum Erfassen und Exportieren der TPM-Wiederherstellungsschlüssel für große Cluster, die PowerCLI nutzen, könnte das angehängte Skript mit nutzungsbasiertem Beispiel unten sein.
Speichern Sie die ZIP-Datei, extrahieren Sie das Skript und führen Sie es über eine PowerShell/PowerCLI-Eingabeaufforderung mit den folgenden Optionen aus:
- -vcenter param muss als IP oder FQDN Ihres vCenter bereitgestellt werden.
- -vcuser param muss bereitgestellt werden, wobei es sich um einen Benutzer auf Administratorebene handelt.
- -vcpassword param ist optional. Wenn es nicht angegeben wird, fordert das Skript sie an (es ist sicherer, aber in meinem Labor ist es einfacher zu testen, um das Passwort hinzuzufügen).
HINWEIS: Es gibt keine Magie, die den Schlüssel abrufen kann, wenn der Host bereits offline ist. Dies ist ein proaktives Tool, wenn alle Hosts online sind.
PS C:\powercli> .\GetTPMRecoveryKeys.ps1 -vcenter *.*.*.* -vcuser administrator@vsphere.local -vcpassword *****
∞ Connecting to provided vCenter x.x.x.x
∞
√ Connected to:
√
√ VCName VCVersion
√ ------ ---------
√ x.x.x.x 7.0.2
√
√
∞ - RDC
∞
∞ - cl01
∞ - esx01.rdc
∞ - Recovery ID:{xxxxxxx-9E3B-42A7-xxxxxxx-E4C180E8BACA}
∞ - Recovery Key:193974-212191-679120-487809-200490-163047-653307-xxxxxxx-044591-621531-432739-xxxxxxx-174648-394385-669925-174640
∞ - Mode: TPM
∞ - Require Executables Only From Installed VIBs: true
∞ - Require Secure Boot: true
∞ - esx02.rdc
∞ - Recovery ID:{xxxxxxx-3DB9-4F8C-xxxxxxx-EC91E9782290}
∞ - Recovery Key:293832-328901-118681-432237-492188-375446-689739-076446-xxxxxxx-330911-097690-348733-350329-xxxxxxx-619754-501857
∞ - Mode: TPM
∞ - Require Executables Only From Installed VIBs: true
∞ - Require Secure Boot: true
∞ - esx03.rdc
∞ - Recovery ID:{xxxxxxx-B4E4-4B1A-xxxxxxx-F71DBB81B6E7}
∞ - Recovery Key:430023-424502-371384-341740-xxxxxxx-709307-578925-153259-682162-231900-583516-122672-xxxxxxx-304009-275146-701353
∞ - Mode: TPM
∞ - Require Executables Only From Installed VIBs: true
∞ - Require Secure Boot: true
∞ - esx04.rdc
∞ - Recovery ID:{xxxxxxx-5420-4CCE-xxxxxxx-F5DDBDB06889}
∞ - Recovery Key:167431-630730-230210-359626-580397-199776-xxxxxxx-577309-191925-221351-191861-xxxxxxx-622205-047984-206484-018858
∞ - Mode: TPM
∞ - Require Executables Only From Installed VIBs: true
∞ - Require Secure Boot: true
∞ - esx05.rdc
∞ - No Key retrieved, Validate TPM settings/config if its expected:
∞ - Mode: NONE
∞ - Require Executables Only From Installed VIBs: false
∞ - Require Secure Boot: false
∞ - esx06.rdc
∞ - No Key retrieved, Validate TPM settings/config if its expected:
∞ - Mode: NONE
∞ - Require Executables Only From Installed VIBs: false
∞ - Require Secure Boot: false
∞ - esx07.rdc
∞ - Recovery ID:{xxxxxxx-E916-41DE-xxxxxxx-0EFA439CAAA6}
∞ - Recovery Key:347578-144805-170128-170921-xxxxxxx-184321-229917-051564-128587-493711-367190-xxxxxxx-682683-335612-344600-352356
∞ - Mode: TPM
∞ - Require Executables Only From Installed VIBs: true
∞ - Require Secure Boot: true
∞ - esx08.rdc
∞ - No Key retrieved, Validate TPM settings/config if its expected:
∞ - Mode: NONE
∞ - Require Executables Only From Installed VIBs: false
∞ - Require Secure Boot: false
∞
∞ Do u wish to export the results as csv (TPMKeysExport.csv)? write y and enter to export.: y
∞ Exporting TPMKeysExport.csv in the script directory.
√ All done.
Ein Beispiel für ein vollständig konfiguriertes Cluster:
Abbildung 1: Ein Beispiel für ein vollständig konfiguriertes Cluster:
Weitere Informationen
- Siehe VMware-Artikel Sichern von ESXi-Hosts mit dem Trusted Platform Module
- Weitere Informationen finden Sie im VMware-Artikel TPM-Richtlinienüberblick
- Siehe VMware-Artikel List Content Keys for ESXi Security Configuration Recovery (Inhaltsschlüssel für ESXi-Sicherheitskonfigurations-Recovery auflisten)
Betroffene Produkte
VxRail Appliance FamilyProdukte
VxRail Appliance Series, VxRail SoftwareArtikeleigenschaften
Artikelnummer: 000204006
Artikeltyp: How To
Zuletzt geändert: 21 Nov. 2025
Version: 9
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.