Secure Boot (sicherer Start) ist Bestandteil des UEFI-Firmwarestandards. Bei aktiviertem Secure Boot lädt eine Maschine UEFI-Treiber oder -Apps nur, wenn der Bootloader des Betriebssystems kryptografisch signiert ist. Ab vSphere 6.5 unterstützt ESXi den sicheren Start, falls die entsprechende Option in der Hardware aktiviert ist.

UEFI Secure Boot – Übersicht

ESXi Version 6.5 und höher unterstützt UEFI Secure Boot auf jeder Ebene des Boot-Stacks.

Hinweis: Vor der Verwendung von UEFI Secure Boot auf einem Host, für den ein Upgrade auf ESXi 6.5 durchgeführt wurde, überprüfen Sie die Kompatibilität anhand der Anweisungen unter Ausführen des Validierungsskripts für den sicheren Start auf einem aktualisierten ESXi-Host. Wenn Sie für einen ESXi-Host ein Upgrade mithilfe von esxcli-Befehlen durchführen, wird der Bootloader nicht aktualisiert. In diesem Fall können Sie keinen Secure Boot für dieses System durchführen.
Abbildung 1. UEFI Secure Boot
Der Stapel für UEFI Secure Boot enthält mehrere Elemente, die im Text erklärt werden.

Bei aktiviertem Secure Boot sieht die Startsequenz wie folgt aus.

  1. Ab vSphere 6.5 enthält der ESXi-Bootloader einen öffentlichen VMware-Schlüssel. Der Bootloader überprüft mithilfe dieses Schlüssels die Signatur des Kernels und einen kleinen Teil des Systems, das eine VIB-Verifizierung für Secure Boot beinhaltet.
  2. Die VIB-Verifizierung überprüft jedes im System installierte VIB-Paket.

Zu diesem Zeitpunkt wird das gesamte System gestartet, mit der vertrauenswürdigen Root in Zertifikaten, die Bestandteil der UEFI-Firmware sind.

Fehlerbehebung bei UEFI Secure Boot

Wenn Secure Boot auf keiner Ebene der Startsequenz erfolgreich ist, wird ein Fehler gemeldet.

Die Fehlermeldung ist abhängig vom Hardwareanbieter und von der Ebene, auf der die Verifizierung fehlgeschlagen ist.
  • Wenn Sie versuchen, mit einem nicht signierten oder manipulierten Bootloader zu starten, wird während der Startsequenz ein Fehler gemeldet. Die genaue Fehlermeldung ist abhängig vom Hardwareanbieter. Die Fehlermeldung kann so oder ähnlich wie die folgende Fehlermeldung lauten.
    UEFI0073: Unable to boot PXE Device...because of the Secure Boot policy 
  • Wenn der Kernel manipuliert wurde, wird eine Fehlermeldung ähnlich der folgenden angezeigt:
    Fatal error: 39 (Secure Boot Failed)
  • Wenn ein Paket (VIB oder Treiber) manipuliert wurde, wird ein lilafarbener Bildschirm mit der folgenden Fehlermeldung angezeigt:
    UEFI Secure Boot failed:
    Failed to verify signatures of the following vibs (XX)

Führen Sie die folgenden Schritte aus, um Probleme mit Secure Boot zu beheben:

  1. Führen Sie einen Neustart des Hosts mit deaktivierter Funktion für Secure Boot durch.
  2. Führen Sie das Skript für die Prüfung des sicheren Starts aus (siehe Ausführen des Validierungsskripts für den sicheren Start auf einem aktualisierten ESXi-Host).
  3. Analysieren Sie die Informationen in der Datei /var/log/esxupdate.log.