Después de actualizar un host ESXi desde una versión anterior de ESXi que no admitía el arranque seguro UEFI, es posible que pueda habilitar el arranque seguro. El hecho de poder habilitar el arranque seguro o no depende de cómo haya realizado la actualización y si esta ha reemplazado todos los VIB existentes o ha dejado alguno sin modificar. Puede ejecutar el script de validación después de realizar la actualización para determinar si la instalación actualizada admite el arranque seguro.

Por qué y cuándo se efectúa esta tarea

Para que el arranque seguro se realice correctamente, la firma de cada VIB instalado debe estar disponible en el sistema. Las versiones anteriores de ESXi no guardan las firmas cuando se instalan los VIB.

El arranque seguro UEFI requiere que las firmas originales de VIB sean persistentes. Las firmas de las versiones anteriores de ESXi no son persistentes, pero el proceso de actualización actualiza las firmas de VIB.

  • Si realiza la actualización con los comandos ESXCLI, los VIB actualizados no tienen firmas persistentes. En ese caso, no podrá realizar un arranque seguro en ese sistema.

  • Si realiza la actualización con la imagen ISO, el proceso de actualización guarda las firmas de todos los VIB nuevos. Esto se aplica también a las actualizaciones de vSphere Update Manager que utilizan la imagen ISO.

Si los VIB anteriores permanecen en el sistema, las firmas de estos VIB seguirán sin estar disponibles y el arranque seguro no será posible.

Por ejemplo, si el sistema utiliza un controlador de terceros y la actualización de VMware no incluye una nueva versión del VIB del controlador, los VIB anteriores permanecerán en el sistema después de la actualización. En muy pocas ocasiones, VMware puede anular el desarrollo continuo de un VIB específico sin proporcionar un nuevo VIB que lo reemplace o lo deje anticuado, de manera que el VIB anterior permanece en el sistema tras la actualización.

Nota:

El arranque seguro UEFI también requiere un cargador de arranque actualizado. Este script no comprueba que haya un cargador de arranque actualizado.

Requisitos

  • Verifique que el hardware admita el arranque seguro UEFI.

  • Verifique que todos los VIB estén firmados con un nivel de aceptación PartnerSupported, como mínimo. Si incluye VIB en el nivel CommunitySupported, no podrá usar el arranque seguro.

Procedimiento

  1. Actualice ESXi y ejecute el siguiente comando.
    /usr/lib/vmware/secureboot/bin/secureBoot.py -c
  2. Compruebe el resultado.

    El resultado incluye Secure boot can be enabled o Secure boot CANNOT be enabled.