Abilitazione e Configurazione del vTPM su VmWare ESXi 7.x

da | Set 11, 2023

TPM è l’acronimo di Trusted Platform Module. Un Trusted Platform Module è un componente hardware (o chip) all’interno o all’esterno del computer che fornisce funzionalità di elaborazione protette al computer, al sistema o al server a cui è collegato.

Questi moduli TPM forniscono elementi come un generatore di numeri casuali, l’archiviazione di chiavi di crittografia e informazioni crittografiche, oltre ad aiutare nell’autenticazione sicura del sistema host.

In un ambiente di virtualizzazione, è necessario emulare questo dispositivo fisico con un modulo TPM virtuale o vTPM.

Un modulo vTPM è un’istanza software virtualizzata di un modulo TPM fisico tradizionale. Un vTPM può essere collegato alle macchine virtuali e fornire le stesse caratteristiche e funzionalità che un modulo TPM fisico fornirebbe a un sistema fisico.

I moduli vTPM possono essere distribuiti con VMware vSphere ESXi e possono essere utilizzati per distribuire Windows 11 su ESXi.

La distribuzione dei moduli vTPM richiede un Key Provider sul vCenter Server.

Per distribuire i moduli vTPM (e la crittografia VM, vSAN Encryption) su VMware vSphere ESXi, è necessario configurare un Key Provider sul vCenter Server.

Tradizionalmente, questo sarebbe realizzato con un provider di chiavi standard che utilizza un server di gestione delle chiavi (KMS), tuttavia ciò richiedeva un server KMS di terze parti ed è ciò che considererei una distribuzione complessa.

VMware ha semplificato questa operazione a partire da vSphere 7 Update 2 (7U2), con il Native Key Provider (NKP) sul vCenter Server.

Il Native Key Provider consente di distribuire facilmente tecnologie come moduli vTPM, crittografia VM, crittografia vSAN, e la parte migliore è che è tutto integrato in vCenter Server.

PREREQUISITI

Per procedere con questa guida assicurarsi di avere:

  • Versione di VmWare aggiornata alla 7.x
  • vCenter Server installato
  • Cluster ESXi attivo anche se in presenza di un solo Host

CONFIGURAZIONE DEL vTPM SUL VCENTER SERVER

Collegarsi al vCenter Server via browser

Selezionare il vCenter quindi cliccare su Configure come mostrato nell’immagine sovrastante

Selezionare dal Menù la voce Security quindi selezionare Key Providers

Selezionare del menù a tendina ADD quindi Add Native Key Provider

Inserire il nome da dare alla chiave e selezionare l’opzione User key provider only with TPM protected ESXi hosts (Recommended)

ATTENZIONE: Se gli host ESXi non dispongono di un modulo TPM fisico per poter utilizzare il Native Key Provider assicurarsi di disabilitare la casella di controllo User key provider only with TPM protected ESXi hosts (Recommended)

Cliccare su ADD KEY PROVIDER

Selezionare il Key Provider appena creato quindi cliccare su BACK-UP

Selezionare l’opzione Protect Native Key Provider data with password (Recommended) come mkostrato nell’imamgine sovrastante

ATTENZIONE: Il backup del Native Key Provider senza protezione tramite password espone i suoi dati di configurazione e, rispettivamente, le macchine virtuali crittografate con i provider di chiavi a potenziali minacce alla sicurezza.

Inserire la password due volte quindi selezionare la voce I have saved the password in a secure place.
Cliccare su BACKP UP KEY PROVIDER per proseguire

Verrà salvato un file con estensione p12

Inoltre come possiamo notare dall’immagine sovrastante nella sezione delle Key Providers noteremo che lo stato della chiave è diventato Attivo e quindi utilizzabile dal sistema.

CONFIGURAZIONE DEL vTPM SULLA VIRTUAL MACHINE

Dopo aver attivato il vTPM a livello di vCenter procedere con l’abilitazione a livello di VM.

Selezionare la VM quindi cliccare su Edit Settings

Cliccare su ADD NEW DEVICE quindi slezionare la voce Trusted Platform Module

Accertarsi che il TPM sia presente quindi cliccare su OK

A questo punto è possibile accendere la VM e procedere alla configurazione del vTPM tramite il BIOS.

Articoli Recenti

Veeam Backup

Monitoring

Friends

  • My English Lab  English School
  • ChrSystem   Servizi ICT
  • Since 01  Kreative Graphics

Database

Networking

Autori

  • Raffaele Chiatto  Amministratore
  • Marco Valle  Autore
  • Angelo Lauria  Autore
  • Edoardo Prot  Autore
  • Davide D’Urso  Autore
Raffaele Chiatto

Raffaele Chiatto

Sono Raffaele Chiatto, un appassionato di informatica a 360 gradi. Tutto è iniziato nel 1996, quando ho scoperto il mondo dell'informatica grazie a Windows 95, e da quel momento non ho più smesso di esplorare e imparare. Ogni giorno mi dedico con curiosità e passione a scoprire le nuove frontiere di questo settore in continua evoluzione.

Related Post

0 commenti

Invia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Virtualizzazione

Linux

Microsoft

Apple

Backup

Database

Security

Automazione