Secure Boot (sicherer Start) ist Bestandteil des UEFI-Firmwarestandards. Bei aktiviertem Secure Boot lädt eine Maschine UEFI-Treiber oder -Apps nur, wenn der Bootloader des Betriebssystems kryptografisch signiert ist. Ab vSphere 6.5 unterstützt ESXi den sicheren Start, falls die entsprechende Option in der Hardware aktiviert ist.
Verwendung von UEFI Secure Boot durch ESXi
ESXi Version 6.5 und höher unterstützt UEFI Secure Boot auf jeder Ebene des Boot-Stacks.
Bei aktiviertem Secure Boot sieht die Startsequenz wie folgt aus.
- Ab vSphere 6.5 enthält der ESXi-Bootloader einen öffentlichen VMware-Schlüssel. Der Bootloader überprüft mithilfe dieses Schlüssels die Signatur des Kernels und einen kleinen Teil des Systems, das eine VIB-Verifizierung für Secure Boot beinhaltet.
- Die VIB-Verifizierung überprüft jedes im System installierte VIB-Paket.
Zu diesem Zeitpunkt wird das gesamte System gestartet, mit der vertrauenswürdigen Root in Zertifikaten, die Bestandteil der UEFI-Firmware sind.
Fehlerbehebung bei UEFI Secure Boot
Wenn Secure Boot auf keiner Ebene der Startsequenz erfolgreich ist, wird ein Fehler gemeldet.
- Wenn Sie versuchen, mit einem nicht signierten oder manipulierten Bootloader zu starten, wird während der Startsequenz ein Fehler gemeldet. Die genaue Fehlermeldung ist abhängig vom Hardwareanbieter. Die Fehlermeldung kann so oder ähnlich wie die folgende Fehlermeldung lauten.
UEFI0073: Unable to boot PXE Device...because of the Secure Boot policy
- Wenn der Kernel manipuliert wurde, wird eine Fehlermeldung ähnlich der folgenden angezeigt:
Fatal error: 39 (Secure Boot Failed)
- Wenn ein Paket (VIB oder Treiber) manipuliert wurde, wird ein lilafarbener Bildschirm mit der folgenden Fehlermeldung angezeigt:
UEFI Secure Boot failed: Failed to verify signatures of the following vibs (XX)
Führen Sie die folgenden Schritte aus, um Probleme mit Secure Boot zu beheben:
- Führen Sie einen Neustart des Hosts mit deaktivierter Funktion für Secure Boot durch.
- Führen Sie das Skript für die Prüfung des sicheren Starts aus (siehe Ausführen des Validierungsskripts für den sicheren Start auf einem aktualisierten ESXi-Host).
- Analysieren Sie die Informationen in der Datei /var/log/esxupdate.log.