Secure Boot (sicherer Start) ist Bestandteil des UEFI-Firmwarestandards. Bei verwendetem Secure Boot lädt eine Maschine UEFI-Treiber oder ‑Apps nur, wenn der Bootloader des Betriebssystems kryptografisch signiert ist. In vSphere 6.5 und höher unterstützt ESXi den sicheren Start, falls die entsprechende Option in der Hardware aktiviert ist.

Verwendung von UEFI Secure Boot durch ESXi

ESXi Version 6.5 und höher unterstützt UEFI Secure Boot auf jeder Ebene des Boot-Stacks.

Hinweis: Vor der Verwendung von UEFI Secure Boot auf einem aktualisierten Host überprüfen Sie die Kompatibilität anhand der Anweisungen unter Ausführen des Validierungsskripts für den sicheren Start auf einem aktualisierten ESXi-Host.
Abbildung 1. UEFI Secure Boot
Der Stapel für UEFI Secure Boot enthält mehrere Elemente, die im Text erklärt werden.

Bei verwendetem Secure Boot sieht die Startsequenz wie folgt aus.

  1. In vSphere 6.5 und höher enthält der ESXi-Bootloader einen öffentlichen VMware-Schlüssel. Der Bootloader überprüft mithilfe dieses Schlüssels die Signatur des Kernels und einen kleinen Teil des Systems, das eine VIB-Verifizierung für Secure Boot beinhaltet.
  2. Die VIB-Verifizierung überprüft jedes im System installierte VIB-Paket.

Zu diesem Zeitpunkt wird das gesamte System gestartet, mit der vertrauenswürdigen Root in Zertifikaten, die Bestandteil der UEFI-Firmware sind.

Hinweis: Wenn Sie vSphere 7.0 Update 2 oder höher installieren oder ein Upgrade auf diese Version durchführen und ein ESXi-Host über ein TPM verfügt, versiegelt das TPM die vertraulichen Informationen mithilfe einer TPM-Richtlinie. Diese basiert auf PCR-Werten für UEFI Secure Boot. Dieser Wert wird bei nachfolgenden Neustarts geladen, wenn die Richtlinie als wahr erfüllt ist. Informationen zum Deaktivieren oder Aktivieren von UEFI Secure Boot in vSphere 7.0 Update 2 oder höher finden Sie unter Aktivieren oder Deaktivieren der Secure Boot-Erzwingung für eine sichere ESXi-Konfiguration.

Fehlerbehebung bei UEFI Secure Boot

Wenn Secure Boot auf keiner Ebene der Startsequenz erfolgreich ist, wird ein Fehler gemeldet.

Die Fehlermeldung ist abhängig vom Hardwareanbieter und von der Ebene, auf der die Verifizierung fehlgeschlagen ist.
  • Wenn Sie versuchen, mit einem nicht signierten oder manipulierten Bootloader zu starten, wird während der Startsequenz ein Fehler gemeldet. Die genaue Fehlermeldung ist abhängig vom Hardwareanbieter. Die Fehlermeldung kann so oder ähnlich wie die folgende Fehlermeldung lauten.
    UEFI0073: Unable to boot PXE Device...because of the Secure Boot policy 
  • Wenn der Kernel manipuliert wurde, wird eine Fehlermeldung ähnlich der folgenden angezeigt:
    Fatal error: 39 (Secure Boot Failed)
  • Wenn ein Paket (VIB oder Treiber) manipuliert wurde, wird ein lilafarbener Bildschirm mit der folgenden Fehlermeldung angezeigt:
    UEFI Secure Boot failed:
    Failed to verify signatures of the following vibs (XX)

Führen Sie die folgenden Schritte aus, um Probleme mit Secure Boot zu beheben:

  1. Führen Sie einen Neustart des Hosts mit deaktivierter Funktion für Secure Boot durch.
  2. Führen Sie das Skript für die Prüfung des sicheren Starts aus (siehe Ausführen des Validierungsskripts für den sicheren Start auf einem aktualisierten ESXi-Host).
  3. Analysieren Sie die Informationen in der Datei /var/log/esxupdate.log.

Ausführen des Validierungsskripts für den sicheren Start auf einem aktualisierten ESXi-Host

Nach dem Upgrade eines ESXi-Hosts von einer früheren ESXi-Version, die UEFI Secure Boot nicht unterstützte, können Sie möglicherweise den sicheren Start aktivieren. Ob Sie den sicheren Start aktivieren können, richtet sich danach, wie Sie das Upgrade durchgeführt haben und ob beim Upgrade alle vorhandenen VIBs ersetzt oder bestimmte VIBs unverändert belassen wurden. Sie können nach der Durchführung des Upgrades ein Validierungsskript ausführen, um festzustellen, ob der sichere Start von der aktualisierten Installation unterstützt wird.

Für eine erfolgreiche Durchführung des sicheren Starts müssen die Signaturen aller installierten VIBs auf dem System vorhanden sein. In älteren ESXi-Versionen werden die Signaturen beim Installieren von VIBs nicht gespeichert.
  • Wenn Sie das Upgrade mithilfe von ESXCLI-Befehlen durchführen, führt die alte Version von ESXi die Installation der neuen VIBs durch, sodass ihre Signaturen nicht gespeichert werden und ein sicherer Start (Secure Boot) nicht möglich ist.
  • Wenn Sie das Upgrade mithilfe des ISO-Images durchführen, werden die Signaturen der neuen VIBs gespeichert. Dies gilt auch für vSphere Lifecycle Manager-Upgrades, die das ISO-Image verwenden.
  • Wenn alte VIBs auf dem System verbleiben, stehen die Signaturen dieser VIBs nicht zur Verfügung und ein sicherer Start ist nicht möglich.
    • Wenn das System einen Drittanbietertreiber verwendet und das VMware-Upgrade keine neue Version des Treiber-VIB enthält, verbleibt das alte VIB nach dem Upgrade auf dem System.
    • In seltenen Fällen stellt VMware die fortlaufende Entwicklung eines bestimmten VIB ein, ohne ein neues VIB bereitzustellen, das das alte ersetzt oder überflüssig macht. In diesem Fall verbleibt das alte VIB nach dem Upgrade auf dem System.
Hinweis: Für den sicheren Start über UEFI ist außerdem ein aktueller Bootloader erforderlich. Mit diesem Skript wird nicht geprüft, ob ein aktueller Bootloader vorhanden ist.

Voraussetzungen

  • Stellen Sie sicher, dass die Hardware den sicheren Start über UEFI unterstützt.
  • Stellen Sie sicher, dass alle VIBs mindestens mit der Akzeptanzebene „PartnerSupported“ signiert sind. Wenn Sie VIBs auf der Ebene „CommunitySupported“ einbeziehen, können Sie den sicheren Start nicht verwenden.

Prozedur

  1. Führen Sie ein Upgrade für ESXi durch und führen Sie den folgenden Befehl aus.
    /usr/lib/vmware/secureboot/bin/secureBoot.py -c
  2. Prüfen Sie die Ausgabe.
    Die Ausgabe enthält entweder Secure boot can be enabled oder Secure boot CANNOT be enabled.