TPM 교체 후, VMware ESXi - PSOD 발생하며, 부팅 실패
PSOD occurred
Unable to restore the system configuration. A security violation was detected The system has found problem on your machine and cannot continue. |
IT 업계에서 여러 보안 이슈로 인해, TPM 사용이 필요한 경우가 있고, HPE 시스템 역시 TPM을 지원함.
- HPE Gen10 plus 이하 모델에서는 TPM 모듈(별도 HW chip)을 System board에 장착하여 활성화 함
- HPE Gen11 이상 모델에서는 BIOS에 TPM이 기본으로 포함되어 있음.
Note. TPM은 기본 활성화(Default: Enabled)
관련 참고 자료:
UEFI System Utilities User Guide for HPE Compute Gen10, Gen10 Plus Servers - Configuring Trusted Platform Module options
UEFI System Utilities User Guide for HPE Compute Gen11 servers - Configuring Trusted Platform Module (TPM) options
ProLiant/Manage TPM 2.0
* 대부분의 Windows 및 Linux 환경에서, TPM이 활성화 되어 있어도 자동으로 동작하지 않음에, 필요에 의한 활성화/구성 과정이 필요 (예, Windows BitLocker / Linux LUKS, Veracrypt etc..)
* VMware ESXi의 경우 ESXi 7.0u2 버전 이상부터, TPM이 존재 및 활성화 되어 있는 경우, 별도 구성 없이 자동으로 동작함 (암호화가 진행됨)
따라서, VMware ESXi 사용 시, 운용 버전에 따라, 암호화키를 사전에 백업해둬야 함.
사유는 장애 등으로 인해 System board(TPM)이 변경되는 경우, OS 부팅 장애가 발생하며, 백업해둔 암호화 복구키를 통해 복원 절차가 진행필요
Action Item 1.
What: OS 제조사 또는 지원팀에 자문하여 복구
When: VMware ESXi 환경에서 TPM 교체 후 부팅 장애 발생 시,
Note. 기존 환경에서 Recovery Key가 백업되어 있어야 함.
Note. TPM 교체 전 부팅이 가능한 경우, 아래 명령으로 백업 가능
a. TPM 상태 확인 - # esxcli hardware trustedboot get
b. Key 백업 - # esxcli system settings encryption recovery list
1) System board(TPM) 교체 과정에 fw security 구성 변경 여부 검토
a. TPM 2.0: enabled
b. UEFI secure boot: disabled
c. execInstalledOnly parameter 점검 필요
2) Secure Boot Enforcement 구성 점검
3) ESXi 부팅 중 <shift+o> 를 통해 Boot option 활성화
4) Boot option에 복구키 입력: encryptionRecoveryKey=customer-recovery-key-here
5) Enter키로 부팅 진행
6) 복구키 적용: /sbin/
7) Reboot
Note. 상세내용 및 절차는 VMware KB 및 OS 제조사 자문 결과 참조
Note. 내부 사례 검토 시 복구키를 백업하지 않았거나, 분실한 경우, ESXi 재배포가 필요한 것으로 예상.
관련 참고 자료:
"TPM Encryption Recovery Key Backup" warning alarm in vCenter Server
ESXi boot failures due to system configuration issues - restore security configuration, decrypt system configuration, recover system configuration
Dell-VMware 참고 자료:
VMware ESXi: How to Gather Recovery Key from TPM Security Enabled Hosts
VMware: How to Recover the Secure ESXi Configuration
ProLiant/Manage TPM 2.0
1. HPE가 사용하는 TPM 모듈은 HW 모듈임. HPE Trusted Platform Module 2.0 Gen10 Plus Note. TPM module 장착 시, 기본적으로 TPM이 활성화 됨 Note. 과거 Gen10 출시 초