R660 に Install した ESXi で Host TPM attestation alarm が出ていたので対応時のメモを残しておきます.
Alarm には "Host Secure Boot was disabled." が記録されているので,これを機会に R660 でセキュア ブートを有効にしてみます.少し古そうですが KB もあります.
iDRAC の "Configuration" から "BIOS Settings" を選択して "System Security" を参照します."TPM Security" は "On" になっています.
画面下へスクロールして "TPM Advanced Settings" を確認すると "Intel(R) TXT" が Default では "Off" になっているので,これを "On" に変更します.続いて画面下の方の "Secure Boot" を "Enabled" に変更し,"Secure Boot Policy" で "VMware(R) Boot" を選択します."Secure Boot Mode" の選択肢は他に "User Mode" が選べますが,モード間の unauthenticated programmatic transitions を許すと記載があるので,"Deployed Mode" のままにして "Apply" をクリックします.問題なければ "Success" のダイアログを "OK" をクリックして閉じます.
画面最下部までスクロールして "Apply And Reboot" をクリックして変更を反映させます.ダイアログの "Job Queue" ボタンをクリックしてみましょう.
Submit した Job の Status が確認できます.その後 Host が起動したかどうかは Dashboard の Virtual Console で目視できます.
ホストの起動後,現在の設定を確認すると Require Secure Boot は false になっています.
[root@r660eval:~] esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: false Require Secure Boot: false
require-secure-boot を true に設定して確認します.
[root@r660eval:~] esxcli system settings encryption set --require-secure-boot=T [root@r660eval:~] esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: false Require Secure Boot: true
auto-backup.sh を実行して ESXi の設定変更をバックアップしておきます.
[root@r660eval:~] /bin/auto-backup.sh Bootbank lock is /tmp/c4bb8cf6-7d4b9330-828d-069ffc31e013.lck Saving current state in /bootbank Ssh configuration synced to configstore Creating ConfigStore Backup Locking esx.conf Creating archive Unlocked esx.conf Using key ID 52a43e53-266b-0571-226d-aa6af3014dc4 to encrypt Clock updated. Time: 08:42:15 Date: 01/23/2024 UTC
これでホストを起動してみると Secure Boot 成功です.
再起動後も念の為設定確認.
[root@r660eval:~] esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: false Require Secure Boot: true
作業メモ ポストなので今回もオチはありません(苦笑).
