Secure Boot (sicherer Start) ist Bestandteil des UEFI-Firmwarestandards. Bei aktiviertem Secure Boot lädt eine Maschine UEFI-Treiber oder -Apps nur, wenn der Bootloader des Betriebssystems kryptografisch signiert ist. Ab vSphere 6.5 unterstützt ESXi den sicheren Start, falls die entsprechende Option in der Hardware aktiviert ist.

Verwendung von UEFI Secure Boot durch ESXi

ESXi Version 6.5 und höher unterstützt UEFI Secure Boot auf jeder Ebene des Boot-Stacks.

Hinweis: Vor der Verwendung von UEFI Secure Boot auf einem aktualisierten Host überprüfen Sie die Kompatibilität anhand der Anweisungen unter Ausführen des Validierungsskripts für den sicheren Start auf einem aktualisierten ESXi-Host.
Abbildung 1. UEFI Secure Boot
Der Stapel für UEFI Secure Boot enthält mehrere Elemente, die im Text erklärt werden.

Bei aktiviertem Secure Boot sieht die Startsequenz wie folgt aus.

  1. Ab vSphere 6.5 enthält der ESXi-Bootloader einen öffentlichen VMware-Schlüssel. Der Bootloader überprüft mithilfe dieses Schlüssels die Signatur des Kernels und einen kleinen Teil des Systems, das eine VIB-Verifizierung für Secure Boot beinhaltet.
  2. Die VIB-Verifizierung überprüft jedes im System installierte VIB-Paket.

Zu diesem Zeitpunkt wird das gesamte System gestartet, mit der vertrauenswürdigen Root in Zertifikaten, die Bestandteil der UEFI-Firmware sind.

Hinweis: Wenn Sie vSphere 7.0 Update 2 oder höher installieren oder ein Upgrade auf diese Version durchführen und ein ESXi-Host über ein TPM verfügt, versiegelt das TPM die vertraulichen Informationen mithilfe einer TPM-Richtlinie. Diese basiert auf PCR-Werten für UEFI Secure Boot. Dieser Wert wird bei nachfolgenden Neustarts geladen, wenn die Richtlinie als wahr erfüllt ist. Informationen zum Deaktivieren oder Aktivieren von UEFI Secure Boot in vSphere 7.0 Update 2 oder höher finden Sie unter Aktivieren oder Deaktivieren der Secure Boot-Erzwingung für eine sichere ESXi-Konfiguration.

Fehlerbehebung bei UEFI Secure Boot

Wenn Secure Boot auf keiner Ebene der Startsequenz erfolgreich ist, wird ein Fehler gemeldet.

Die Fehlermeldung ist abhängig vom Hardwareanbieter und von der Ebene, auf der die Verifizierung fehlgeschlagen ist.
  • Wenn Sie versuchen, mit einem nicht signierten oder manipulierten Bootloader zu starten, wird während der Startsequenz ein Fehler gemeldet. Die genaue Fehlermeldung ist abhängig vom Hardwareanbieter. Die Fehlermeldung kann so oder ähnlich wie die folgende Fehlermeldung lauten. 
    UEFI0073: Unable to boot PXE Device...because of the Secure Boot policy
  • Wenn der Kernel manipuliert wurde, wird eine Fehlermeldung ähnlich der folgenden angezeigt: 
    Fatal error: 39 (Secure Boot Failed)
  • Wenn ein Paket (VIB oder Treiber) manipuliert wurde, wird ein lilafarbener Bildschirm mit der folgenden Fehlermeldung angezeigt: 
    UEFI Secure Boot failed:
Failed to verify signatures of the following vibs (XX)

Führen Sie die folgenden Schritte aus, um Probleme mit Secure Boot zu beheben:

  1. Führen Sie einen Neustart des Hosts mit deaktivierter Funktion für Secure Boot durch.
  2. Führen Sie das Skript für die Prüfung des sicheren Starts aus (siehe Ausführen des Validierungsskripts für den sicheren Start auf einem aktualisierten ESXi-Host).
  3. Analysieren Sie die Informationen in der Datei /var/log/esxupdate.log.