从不支持 UEFI 安全引导的 ESXi 旧版本升级 ESXi 主机之后,您可能能够启用安全引导。是否能够启用安全引导取决于您执行升级的方式,以及升级是替换所有现有 VIB 还是保持某些 VIB 不变。您可以在执行升级后运行验证脚本以确定升级后的安装是否支持安全引导。

要使安全引导成功,每个已安装 VIB 的签名必须在系统上可用。在安装 VIB 时,ESXi 的旧版本不会保存签名。

UEFI 安全引导需要保留原始 VIB 签名。早期版本的 ESXi 不会保留签名,但是升级过程会更新 VIB 签名。
  • 如果使用 ESXCLI 命令升级,升级后的 VIB 不会保留签名。在这种情况下,无法在此系统上执行安全引导。
  • 如果您使用 ISO 升级,则升级过程会保存所有新 VIB 的签名。这也适用于使用 ISO 进行的 vSphere Update Manager 升级。

如果有任何旧版 VIB 保留在系统上,这些 VIB 的签名仍不可用,且无法进行安全引导。

例如,如果系统使用第三方驱动程序,而 VMware 升级不包括新版本的驱动程序 VIB,则在升级后旧版本的 VIB 仍会保留在系统上。在极少数情况下,VMware 可能会停止持续开发特定 VIB,且不提供新版本的 VIB 来替换或弃用新版本,因此在升级后旧版本的 VIB 会保留在系统上。

注:
UEFI 安全引导还需要最新的引导加载程序。此脚本不会检查最新的引导加载程序。

前提条件

  • 验证硬件是否支持 UEFI 安全引导。
  • 验证是否所有 VIB 均已签名且接受级别至少为“合作伙伴支持”。如果 VIB 为“社区支持”级别,则无法使用安全引导。

过程

  1. 升级 ESXi 并运行以下命令。
    /usr/lib/vmware/secureboot/bin/secureBoot.py -c
  2. 检查输出结果。
    输出包含 Secure boot can be enabledSecure boot CANNOT be enabled