So ich habs jetzt!
Im Prinzip überschaubar, aber mit ein paar Fußangeln weil die VMware Anleitungen teilweise verschachtelt und nicht wirklich Step-by-Step sind.
Hier mal die Kurzform:
ESX - muss Version 7.0u2 (Enterprise Plus) oder höher sein, aktuell ist 7.0u2d
vCenter - muss Version 7.0u2 oder höher sein, aktuell ist 7.0u2c
Hardware TPM am ESX Host ist optional, kann man benutzen, muss man aber nicht!
Für das vCenter muss es einen funktionierenden DNS - FQDN geben, d.h. die Verwendung von z.B. "vcenter.local" muss die korrekte IP Adresse zurückgeben.
Weil: der erzeugte Key aus dem NKP <muss> zwingend vorher abgespeichert werden, vorher kann man den Key nicht verwenden.
Aus irgendeinem unerfindlichen Grund kann man zwar das gesamte vCenter per Browser mit https://<meine_vcenter_ip> benutzen,
aber das Backup des Keys klappt nicht. Steht auch so im Handbuch... schön tief vergraben.
Heisst konkret: das vCenter muss an dieser Stelle mit "
https://vcenter.local" gestartet werden, sonst kein Backup.
Ich habe das bei mir mit dem FQDN gelöst, in dem im Router einen manuellen Eintrag gesetzt habe, weil kein DC mit DNS vorhanden im HomeLab.
Der bei der Installation des vCenter "optionale" FQDN (vcenter.local) muss bei der Installation richtig gesetzt sein.
Kann man später theoretisch ändern, ist aber sehr aufwändig und eben auch wieder eine Fehlerquelle.
Der FQDN muss sich logischerweise mit dem decken, was der DNS zurück gibt.
Wenn das soweit steht, im vCenter folgendes machen:
1) configure - security - key providers - ADD: native key provider (NPK) - Name vergeben
2) NPK Key sichern - geht nur wenn das vCenter per FQDN gestartet wurde
3) Datacenter anlegen
4) im Datacenter einen Cluster anlegen und mindestens den 1 Host zufügen, wo die VM mit TPM laufen soll
Die fertige Struktur ist also wie folgt:
--[vcenter.local]
-----[my_datacenter]
----------[my_cluster]
---------------[my_esx_host]
-------------------- VM_1
---------------------VM_2
Der Cluster Layer ist zwar für einen Stand-Alone Host komplett sinnfrei (wie ein Raid-0 mit nur 1 Member),
aber VMware will das halt so, sonst gehts nicht.
Konfiguration der VM:
1) Hardware Version muss 14 oder höher sein
2) Boot Mode EFI
3) SecureBoot einschalten
vCenter: VM -> rechtsklick - VM policies -> Edit Storage Policies -> Umstellen auf "VM Encryption policy" + ok
Datenträger wird verschlüsselt, wenn fertig:
4) VM Edit Config: Add other Device - TPM
Fertig.
Und logischerweise: (Auto) Backups des NPK Keys und der vCenter Instanz. Sonst sind die VMs etc nicht mehr verwendungsfähig, wenn das vCenter sich mal zerlegen sollte.