Depois de atualizar um host ESXi de uma versão mais antiga do ESXi que não era compatível com a inicialização segura de UEFI, você poderá habilitar a inicialização segura. Se você pode habilitar a inicialização segura depende de como você executou a atualização e se a atualização substituiu todos os VIBs existentes ou deixou alguns VIBs inalterados. Você pode executar um script de validação após realizar a atualização para determinar se a instalação atualizada oferece suporte à inicialização segura.

Para que a inicialização segura seja bem-sucedida, a assinatura de cada VIB instalado deve estar disponível no sistema. Versões mais antigas do ESXi não salvam as assinaturas ao instalar VIBs.
  • Se você atualizar usando comandos ESXCLI, a versão antiga do ESXi executará a instalação dos novos VIBs, portanto, suas assinaturas não serão salvas e a inicialização segura não será possível.
  • Se você atualizar usando o ISO, os novos VIBs terão suas assinaturas salvas. Isso também é válido para atualizações de vSphere Lifecycle Manager que usam o ISO.
  • Se os VIBs antigos permanecerem no sistema, as assinaturas desses VIBs não estarão disponíveis e a inicialização segura não será possível.
    • Se o sistema usar um driver de terceiros e a atualização do VMware não incluir uma nova versão do VIB do driver, o VIB antigo permanecerá no sistema após a atualização.
    • Em casos raros, o VMware pode descartar o desenvolvimento contínuo de um VIB específico sem fornecer um novo VIB que o substitua ou o torne obsoleto, para que o VIB antigo permaneça no sistema após a atualização.
Observação: A inicialização segura da UEFI também requer um bootloader atualizado. Este script não verifica se há um bootloader atualizado.

Pré-requisitos

  • Verifique se o hardware oferece suporte à inicialização segura de UEFI.
  • Verifique se todos os VIBs estão assinados com um nível de aceitação de pelo menos PartnerSupported. Se você incluir VIBs no nível de CommunitySupported, não será possível usar a inicialização segura.

Procedimento

  1. Atualize o ESXi e execute o seguinte comando.
    /usr/lib/vmware/secureboot/bin/secureBoot.py -c
  2. Verifique a saída.
    A saída inclui Secure boot can be enabled ou Secure boot CANNOT be enabled.