Solución del problema de alarma de atestación de TPM del host en VMware

Técnica
By Merwan Redha

los puntos principales

  • La autenticación de host en vSphere verifica la integridad del sistema host para garantizar que no haya sido alterado, creando un entorno seguro para las máquinas virtuales (VM).
  • La “alarma de autenticación de host TPM” generalmente surge de problemas con el chip TPM 2.0 físico, a menudo debido a configuraciones UEFI incorrectas o la adición de un nuevo chip TPM.
  • Para solucionar este error, asegúrese de que el Arranque seguro esté habilitado, que la configuración de TPM sea correcta y que las versiones de vCenter Server/ESXi estén actualizadas; además, desconectar y volver a conectar el host a vCenter puede resolver el problema si se ha agregado un nuevo TPM.

في VMwareo más específicamente, en vSphereEs posible que encuentres un error que diga “Alarma de autenticación del host TPMSi acaba de instalar un nuevo chip TPM 2.0 en su sistema host, quizá se pregunte por qué ve este mensaje. En esta guía, explicaremos qué significa la autenticación del host y cómo solucionar este problema.

Solución del problema de alarma de atestación de TPM del host en VMware

¿Qué es la autenticación de host?

En términos simples, la autenticación del host se verifica mediante seguridad Su computadora (el host) en la que trabaja muchas veces maquinas virtuales Cruzar vSphereEsto garantiza que el sistema permanezca intacto y proporciona un entorno seguro para las máquinas virtuales. Imagine lo seguro que usted (la máquina virtual) desearía que estuviera su hogar (el host).

Se genera un informe con datos vitales sobre su sistema y se utiliza para compararlo con valores conocidos o esperados y así determinar si el host es confiable. Esto resulta indispensable en entornos de servidor donde se introducen datos valiosos en el sistema. miles de millones de dólares Para dispositivos remotos, y querrá asegurarse de que estos dispositivos sean confiables.

Por lo general no es necesario TPM في vSphereCada máquina virtual se utiliza en el entorno vSphere. vTPM (Módulo de Plataforma Virtual de Confianza) para garantizar la seguridad básica. No necesita un TPM físico para usar vTPM. vTPM permite el uso de servicios como BitLocker Cada máquina virtual es independiente.

Se produce un problema.Alarma de autenticación del host TPM"Debido al TPM físico. Esto podría deberse a varias razones; agregar un chip Nuevo TPMDispositivos TPM غير كافيةajustes UEFI incorrectao problema vSphere/vCentro.

¿Cómo solucionar la “alarma de autenticación de host TPM”?

Afortunadamente, solucionar una alerta de autenticación TPM del host no es difícil. Primero, debemos encontrar la causa raíz del problema. Para ello, podemos ver el mensaje de error correspondiente o revisar los registros.

  1. Contacto servidor vCenter.
  2. Seleccione un centro de datos y vaya a “Monitorización".
  3. dentro de "Rendimiento", toque en "Seguridad".
  4. Identifique el dispositivo que experimenta este problema y verifique el mensaje de error en “Mensaje(Fuente: VMware)
  5. Si el mensaje dice:Se ha deshabilitado el arranque seguro del host“Así que sigue Paso 1 Abajo para habilitar Comienza segura Desde la configuración UEFI. Si la columna "AtestaciónSimplemente se refiere aFallidos“Entonces tendrás que comprobarlo archivos de registro Específico de vCenter Server. Para obtener más información sobre los archivos de registro, siga este enlace. Guía.
  6. Una vez que se encuentra un archivo vpxd.logComprueba si contiene el registro: “No hay ninguna clave de identidad oculta; la carga es desde la base de datos.Si es así, siga Paso 2.

1) ¿Su anfitrión cumple con los requisitos?

Si su máquina virtual está configurada para utilizar la autenticación de host, debe cumplir ciertos requisitos, que son:

  • rodaja TPM 2.0 físico
  • debe estar habilitado Comienza segura
  • TPM debe utilizar cifrado basado en SHA-256
  • Las versiones necesitan ser actualizadas servidor vCenteryESXi A 6.7 o superior

En casi todos los casos, el usuario ha desactivado accidentalmente el TPM o el Arranque Seguro. Para reactivar estas configuraciones, siga estos pasos:

  1. Reinicie su computadora y presione las teclas “Eliminar","F1","F2"O"F10".
  2. Ve a la pestaña "Bota"Y busca una configuración llamada "Comienza seguraEstablezca esto en “Los usuarios de la app Smart Spaces con Google Wallet disfrutan de acceso móvil sin contacto con cualquier lector HID® Signo™ con NFC.".
  3. A continuación, necesitamos habilitar TPM. Vaya a "ConfiguraciónEn nuestro caso, el TPM estaba ubicado dentro del “Computación confiableEsto puede variar según su sistema, por lo que es mejor consultar el manual de su placa base.
  4. Si tus aplicaciones no están actualizadas, debes actualizarlas a la última versión. 6.7 Al menos, según los requisitos. Dado que vSphere y vCenter son aplicaciones sofisticadas, es recomendable seguir los manuales correctos.vSphere, vCentroPara garantizar que no ocurran problemas inesperados.

2) Instale el chip TPM en un host existente

Si sus archivos de registro contienen el texto “No hay clave de identidad en caché, se carga desde la base de datosEsto significa básicamente que has instalado el chip TPM 2.0 en un host ya administrado por vCenter. Para solucionarlo, simplemente activa el modo de host. mantenimientoDesconecte el host ESXi del servidor vCenter y luego vuelva a conectarlo.

  1. Registrarse A vSphere Client.
  2. Botón derecho del ratón En el host ESXi el significado.
  3. Localizar "Modo de mantenimiento(Modo de mantenimiento) y haga clic en “Entrar en modo de mantenimiento(Entrando en modo de mantenimiento). (Fuente: Software StarWind)
  4. Una vez que ingrese al modo de mantenimiento, Botón derecho del ratón De vuelta al servidor. Vaya a "Conexión(Conectar) y seleccione “Desconectar(Desconexión) como se muestra. (Fuente: VMware)
  5. Después de desconectarse exitosamente del servidor, haga clic derecho en el servidor nuevamente y vaya a “Conexión(Conectar) y seleccione “Conéctese(Conexión). Espere hasta que el estado de la tarea se actualice a "Completada".
  6. Si el archivo ya no está disponible vpxd.log Contiene el mismo mensaje, así que haz lo siguiente: Reiniciar (Restablecer) Alerta de color Verde (Verde) Manualmente. (Fuente: Lenovo)

¿Qué tan confiable es el TPM?

La atestación del host se basa en los dispositivos TPM (Módulo de Plataforma Segura) ubicados en el host. El sistema genera un informe con un hash de su estado actual, software, firmware y otra información. Al combinarlos, esto es prácticamente imposible. Falsificación (parodia) o Recrear (recrear) una copia de este fragmento, gracias a un proceso llamado Cadena minorista (encadenamiento de hash).

El módulo TPM físico de su host no se puede transferir a las máquinas virtuales (VM) instaladas en él. Las máquinas virtuales utilizan lo que se denomina un vTPM El módulo TPM virtual proporciona la funcionalidad de software del chip TPM 2.0. El módulo TPM físico garantiza que el host funcione de forma segura y tenga poca o ninguna conexión con las máquinas virtuales instaladas.

Puede surgir una situación en la que, si su servidor utiliza “Autenticación de host(Certificación del host) La autenticación falló debido al módulo TPM físico; el host no puede descifrar los archivos de configuración de la máquina virtual porque servidor vCenter Él no confía en él.

Por lo tanto, un módulo TPM puede ser extremadamente útil si busca una capa adicional de protección y seguridad. Sin embargo, tenga en cuenta sus inconvenientes, ya que servicios como BitLocker pueden cifrar toda la unidad y hacerla inaccesible sin credenciales válidas.

Conclusión

Preparar "Alarma de autenticación del host TPMEl problema de la "Alarma de atestación de TPM del host" es un tema muy complejo y detallado si profundiza en sus complejidades; sin embargo, solucionar este problema implica simplemente 2 Es una comprobación sencilla. Tenga en cuenta que puede haber muchos problemas al configurar esta función, como algoritmos hash, administración de múltiples hosts, etc., pero puede llegar a ser muy específica.

Sin embargo, gracias a la abstracción y a un proceso simplificado, este error a menudo ocurre debido a la configuración. UEFI Instalación incorrecta o inadecuada del chip TPMSin embargo, si bien TPM tiene sus ventajas, también conlleva el riesgo de bloquear completamente el acceso al sistema en raras ocasiones. Por lo tanto, recomendamos a los usuarios que evalúen los riesgos y beneficios y procedan con cautela.

preguntas comunes

¿Qué es la certificación de host?

La atestación de host es un procedimiento que verifica la fiabilidad del hardware de un host antes de que los usuarios puedan interactuar con él. El servicio de atestación verifica la integridad del host según las buenas prácticas conocidas o una política predefinida.

¿Este problema afecta a las máquinas virtuales del host?

Depende de la gravedad del problema. Generalmente, una alarma de atestación de TPM del host está relacionada con el host o el módulo TPM físico. En el peor de los casos, podría quedar bloqueado el acceso a sus máquinas virtuales si vCenter Server determina que su host ha sido comprometido.

¿Es necesaria una unidad TPM física para VMware?

Las máquinas virtuales instaladas en hosts utilizan un TPM (Dispositivo de Ejecución de Tipo) virtual. Los TPM virtuales no dependen en absoluto de un TPM físico.

Merwan Redha 2632 mensajes 0 comentarios
Quizás te interese Más del autor

Los comentarios están cerrados.