跳到主要内容

设置 TPM 策略

在交付更换主板时,TPM 策略默认设置为未定义。您必须修改此设置以匹配待更换主板的设置。

可使用两种方法设置 TPM 策略:
  • 使用 Lenovo XClarity Provisioning Manager

    要从 Lenovo XClarity Provisioning Manager 中设置 TPM 策略,请执行以下操作:
    1. 启动服务器并根据屏幕上的说明按下相应的键,以显示 Lenovo XClarity Provisioning Manager 界面。

    2. 如果开机时需要管理员密码,请输入密码。

    3. 从“系统摘要”页面中,单击更新 VPD

    4. 将策略设置为以下选项之一。
      • 启用 NationZ TPM 2.0 — 仅限中国。如果安装了 NationZ TPM 2.0 适配器,中国大陆的客户应选择此设置。

      • 启用 TPM — 世界其他地区。中国大陆以外的客户应选择此设置。

      • 永久禁用。如果未安装 TPM 适配器,中国大陆的客户应使用此设置。

      虽然未定义也是一种策略设置,但不应使用此设置。

  • 使用 Lenovo XClarity Essentials OneCLI

    请注意,必须在 Lenovo XClarity Controller 中设置用于远程访问目标系统的 IPMI 用户和密码。
    要从 Lenovo XClarity Essentials OneCLI 中设置 TPM 策略,请执行以下操作:
    1. 读取 TpmTcmPolicyLock 以检查 TPM_TCM_POLICY 是否已锁定:

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      imm.TpmTcmPolicyLock 值必须为“Disabled”,这表示 TPM_TCM_POLICY 未锁定,允许对 TPM_TCM_POLICY 进行更改。如果返回代码为“Enabled”,则不允许更改策略。如果所需设置适用于要更换的系统,则平板仍将可以使用。

    2. 将 TPM_TCM_POLICY 配置到 XCC 中:

      • 对于中国大陆内没有 TPM 或需要禁用 TPM 的客户:

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override  --imm <userid>:<password>@<ip_address>
      • 对于中国大陆内需要启用 TPM 的客户:

        OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --imm <userid>:<password>@<ip_address>
      • 对于中国大陆之外的其他国家/地区内需要启用 TPM 的客户:

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>
    3. 发出 reset 命令以重置系统:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
    4. 读回值以检查更改是否已被接受:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      • 如果读回值匹配,则表示已正确设置 TPM_TCM_POLICY。

        imm.TpmTcmPolicy 定义如下:
        • 值 0 使用字符串“Undefined”,这表示 UNDEFINED 策略。

        • 值 1 使用字符串“NeitherTpmNorTcm”,这表示 TPM_PERM_DISABLED。

        • 值 2 使用字符串“TpmOnly”,这表示 TPM_ALLOWED。

        • 值 4 使用字符串“NationZTPM20Only”,这表示 NationZ_TPM20_ALLOWED。

      • 在使用 OneCli/ASU 命令时,还必须通过以下 4 步操作“锁定” TPM_TCM_POLICY:

    5. 读取 TpmTcmPolicyLock 以检查 TPM_TCM_POLICY 是否已被锁定,命令如下:

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      值必须为“Disabled”,这表示 TPM_TCM_POLICY 未锁定并且必须设置。

    6. 锁定 TPM_TCM_POLICY:

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>
      在锁定 TPM_TCM_POLICY 之前,请确保安装最新版本的 BIOS/UEFI 固件。
    7. 发出 reset 命令以重置系统,命令如下:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
      重置期间,UEFI 将会从 imm.TpmTcmPolicyLock 读取值,如果值为“Enabled”且 imm.TpmTcmPolicy 值有效,UEFI 将会锁定 TPM_TCM_POLICY 设置。

      imm.TpmTcmPolicy 的有效值包括“NeitherTpmNorTcm”、“TpmOnly”和“NationZTPM20Only”。

      如果 imm.TpmTcmPolicyLock 被设置为“Enabled”,但是 imm.TpmTcmPolicy 值无效,UEFI 将会拒绝“锁定”请求并将 imm.TpmTcmPolicyLock 改回为“Disabled”。

    8. 读回该值以检查“锁定”请求是被接受还是被拒绝。命令如下:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      如果读回值从“Disabled”更改为“Enabled”,则表示 TPM_TCM_POLICY 已成功锁定。策略在设置之后无法解锁,除非更换主板。

      imm.TpmTcmPolicyLock 定义如下:

      值 1 使用字符串“Enabled”,这表示锁定策略。不接受其他值。