Después de actualizar un host ESXi a partir de una versión anterior de ESXi que no admitía el arranque seguro UEFI, es posible que pueda habilitar el arranque seguro. La posibilidad de habilitar el arranque seguro depende de la forma en la que realizó la actualización y de si esta reemplazó todos los VIB existentes o dejó alguno sin modificar. Puede ejecutar el script de validación después de realizar la actualización para determinar si la instalación actualizada admite el arranque seguro.

Por qué y cuándo se efectúa esta tarea

Para que el arranque seguro se realice correctamente, la firma de cada VIB instalado debe estar disponible en el sistema. Las versiones anteriores de ESXi no guardan las firmas cuando se instalan los VIB.

  • Si realiza la actualización mediante comandos ESXCLI, la versión anterior de ESXi instalará los nuevos VIB, por lo que no se guardarán las firmas y no será posible realizar el arranque seguro.

  • Si realiza la actualización mediante el archivo ISO, se guardarán las firmas de los nuevos VIB. Esto también es así para las actualizaciones de vSphere Upgrade Manager que utilicen el archivo ISO.

  • Si los VIB anteriores permanecen en el sistema, las firmas de dichos VIB no estarán disponibles y no será posible realizar el arranque seguro.

    • Si el sistema utiliza un controlador de terceros y la actualización de VMware no incluye una nueva versión del VIB de controlador, el VIB anterior permanecerá en el sistema tras la actualización.

    • En casos excepcionales, VMware puede descartar el desarrollo en curso de un VIB específico sin proporcionar un nuevo VIB que lo reemplace o lo deje obsoleto, de manera que el VIB anterior permanece en el sistema tras la actualización.

Nota:

El arranque seguro UEFI también requiere un cargador de arranque actualizado. Este script no comprueba que haya un cargador de arranque actualizado.

Requisitos

  • Verifique que el hardware admita el arranque seguro UEFI.

  • Verifique que todos los VIB estén firmados con un nivel de aceptación PartnerSupported, como mínimo. Si incluye VIB en el nivel CommunitySupported, no podrá usar el arranque seguro.

Procedimiento

  1. Actualice ESXi y ejecute el siguiente comando.
    /usr/lib/vmware/secureboot/bin/secureBoot.py -c
  2. Compruebe el resultado.

    El resultado incluye Secure boot can be enabled o Secure boot CANNOT be enabled.