如果硬件支持 UEFI 安全引导,您可能可以为 ESXi 主机启用安全引导。是否可行取决于您执行升级的方式。您可以在执行升级后运行验证脚本以确定是否支持安全引导。

开始之前

  • 验证硬件是否支持 UEFI 安全引导。

  • 验证是否所有 VIB 均已签名且接受级别至少为“合作伙伴支持”。如果 VIB 为“社区支持”级别,则无法使用安全引导。

关于此任务

UEFI 安全引导需要保留原始 VIB 签名。早期版本的 ESXi 不会保留签名,但是升级过程会更新 VIB 签名。

  • 如果使用 ISO 升级,升级后的 VIB 会保留签名。

  • 如果使用 ESXCLI 命令升级,升级后的 VIB 不会保留签名。在这种情况下,无法在此系统上执行安全引导。

即使使用 ISO 升级,升级过程也无法保留第三方 VIB 的签名。在这种情况下,系统上的安全引导将失败。

注:

UEFI 安全引导还需要最新的引导加载程序。此脚本不会检查最新的引导加载程序。

过程

  1. 升级 ESXi 并运行以下命令。
    /usr/lib/vmware/secureboot/bin/secureBoot.py -c
  2. 检查输出结果。

    输出包含 Secure boot can be enabledSecure boot CANNOT be enabled