配置 Trusted Platform Module 选项

Trusted Platform Module 是一些计算机芯片,可以安全地存储用于验证平台身份的凭据。这些凭据可能包括密码、证书或加密密钥。也可以使用 TPM 存储各种平台指标以确保平台保持可信。对于使用 Trusted Platform Module (TPM) 配置的服务器,TPM 让固件和操作系统可以测量引导过程的所有阶段。有关安装和启用 TPM 模块选项的信息,请参阅与您的服务器型号对应的用户文档。

在启用 Trusted Platform Module 时,请遵循以下准则:

  • 默认情况下,在安装 Trusted Platform Module 后打开服务器电源时,将启用该模块以作为 TPM 2.0。

  • 在 UEFI 模式下,可以配置 Trusted Platform Module 以作为 TPM 2.0 或 TPM 1.2 运行。

  • 在传统引导模式下,可以在 TPM 1.2 和 TPM 2.0 之间切换 Trusted Platform Module 配置,但仅支持 TPM 1.2 运行模式。

小心:

如果未按照正确的步骤修改服务器以及在操作系统中挂起或禁用 TPM,使用 TPM 的操作系统可能会锁定所有数据访问。这包括更新系统或选件固件,更换硬件(如主板和硬盘驱动器)以及修改 TPM 操作系统设置。如果在安装操作系统后更改 TPM 模式,可能会导致出现问题,包括数据丢失。

过程
  1. System Utilities 屏幕中,选择系统配置 > BIOS/平台配置 (RBSU) > 服务器安全性 > Trusted Platform Module 选项
  2. 选择一个选项。在配置了可选 TPM 的服务器上,您可以进行以下设置:

    • TPM 2.0 操作 - 设置要在重新引导后执行的 TPM 2.0 操作。选项为:

      • 无操作 - 未配置 TPM。

      • 清除 - 在重新引导期间清除 TPM,并将 TPM 2.0 操作设置为无操作

    • TPM 模式切换 - 设置要在重新引导后执行的 TPM 模式。选项为:

      • 无操作

      • TPM 1.2

      • TPM 2.0

    • TPM 2.0 可见性 - 设置是否对操作系统隐藏 TPM。选项为:

      • 可见
      • 隐藏 - 使 TPM 对操作系统隐藏。使用此设置可从系统中删除 TPM 选项,而无需卸载实际硬件。

    • TPM UEFI 选项 ROM 测量值 - 启用或禁用(跳过)测量 UEFI PCI 运行 ROM。选项为:

      • 已启用
      • 已禁用

    • 备用 ROM 映像身份验证 - 可以使用该选项在启动时启用备用 ROM 映像加密身份验证。如果禁用该选项,则在每次启动时仅对主映像进行身份验证。如果启用该选项,则还会对备用 ROM 映像进行加密身份验证。

  3. 保存所做的更改。
  4. 重新引导系统。

    在系统重新引导后,您可以查看当前 TPM 类型当前 TPM 状态设置。

  5. 验证确认屏幕顶部是否显示新的当前 TPM 类型当前 TPM 状态设置。