Nach dem Upgrade eines ESXi-Hosts von einer früheren ESXi-Version, die UEFI Secure Boot nicht unterstützt hat, können Sie den sicheren Start aktivieren. Ob Sie den sicheren Start aktivieren können, richtet sich danach, wie Sie das Upgrade durchgeführt haben und ob beim Upgrade alle vorhandenen VIBs ersetzt oder bestimmte VIBs nicht geändert wurden. Sie können nach der Durchführung des Upgrades ein Validierungsskript ausführen, um festzustellen, ob der sichere Start von der aktualisierten Installation unterstützt wird.

Warum und wann dieser Vorgang ausgeführt wird

Für eine erfolgreiche Durchführung des sicheren Starts müssen die Signaturen aller installierten VIBs auf dem System vorhanden sein. In älteren ESXi-Versionen werden die Signaturen beim Installieren von VIBs nicht gespeichert.

Für den sicheren Start über UEFI müssen die ursprünglichen VIB-Signaturen beibehalten werden. Ältere Versionen von ESXi behalten die Signaturen nicht bei, aber beim Upgrade werden die VIB-Signaturen aktualisiert.

  • Wenn Sie das Upgrade mithilfe von ESXCLI-Befehlen durchführen, behalten die aktualisierten VIBs die Signaturen nicht bei. In diesem Fall können Sie keinen sicheren Start für dieses System durchführen.

  • Wenn Sie das Upgrade mithilfe der ISO-Datei durchführen, speichert das Upgrade die Signaturen aller neuen VIBs. Dies gilt auch für Upgrades von vSphere Update Manager, die die ISO-Datei verwenden.

Wenn beliebige alte VIBs auf dem System verbleiben, stehen die Signaturen dieser VIBs noch nicht zur Verfügung und ein sicherer Start ist nicht möglich.

Wenn das System beispielsweise einen Drittanbietertreiber verwendet und das VMware-Upgrade keine neue Version des Treiber-VIB enthält, verbleibt das alte VIB nach dem Upgrade auf dem System. In seltenen Fällen stellt VMware die fortlaufende Entwicklung eines bestimmten VIB ein, ohne ein neues VIB bereitzustellen, das das alte ersetzt oder überflüssig macht. In diesem Fall verbleibt das alte VIB nach dem Upgrade auf dem System.

Anmerkung:

Für den sicheren Start über UEFI ist außerdem ein aktueller Bootloader erforderlich. Mit diesem Skript wird nicht geprüft, ob ein aktueller Bootloader vorhanden ist.

Voraussetzungen

  • Stellen Sie sicher, dass die Hardware den sicheren Start über UEFI unterstützt.

  • Stellen Sie sicher, dass alle VIBs mindestens mit der Akzeptanzebene „PartnerSupported“ signiert sind. Wenn Sie VIBs auf der Ebene „CommunitySupported“ einbeziehen, können Sie den sicheren Start nicht verwenden.

Prozedur

  1. Führen Sie ein Upgrade für ESXi durch und führen Sie den folgenden Befehl aus.
    /usr/lib/vmware/secureboot/bin/secureBoot.py -c
  2. Prüfen Sie die Ausgabe.

    Die Ausgabe enthält entweder Secure boot can be enabled oder Secure boot CANNOT be enabled.