8、英特尔TXT技术的配置与启动控制策略解析

英特尔TXT技术的配置与启动控制策略解析

1. 安装可信主机操作系统

在安装操作系统（OS）或虚拟机监视器（VMM）时，安装方式本身没有变化，但需要了解所安装的特定 OS/VMM 对可信平台模块（TPM）所有权的要求。许多 OS/VMM 支持“零接触”自动或脚本化安装，其中包括英特尔可信执行技术（Intel TXT）设置。

1.1 VMware ESXi 示例

VMware ESXi 要求 TPM 处于未拥有状态，或者（在重新安装的情况下）所有权之前由 VMware 中央管理服务器建立。安装程序会自动安装其 Intel TXT 组件。在运行时，系统会检查 TPM 是否存在以及平台是否支持 Intel TXT。
每次 VMware ESXi 服务器启动时，它会检查 TPM 是否已启用但未被拥有。如果是，则执行获取所有权操作，将自己设置为 TPM 所有者。之后，它会检查 Intel TXT 是否已启用，如果启用，VMM 将执行测量启动并进入安全模式。需要注意的是，你可以在启用 TPM 和/或启用 Intel TXT 之前安装 ESXi，但仍建议按照规定的顺序进行操作。
对于新服务器，在完成 BIOS 设置步骤后即可加载 ESXi。如果要重新配置服务器（即在安装不同的 OS/VMM 后安装 ESXi），则需要从 BIOS 菜单中执行“清除 TPM 所有权”操作，并在安装 ESXi 之前重新启用 TPM。

1.2 Linux 示例（Ubuntu）

安装操作系统后，可按以下步骤启用 Intel TXT 测量启动。不过，根据 OS 版本的不同，这些步骤可能不再需要。
1. 安装 TBOOT