El arranque seguro forma parte del estándar de firmware UEFI. Con el arranque seguro habilitado, una máquina se niega a cargar cualquier controlador UEFI o aplicación, salvo que el cargador de arranque del sistema operativo esté firmado con datos de cifrado. A partir de vSphere 6.5, ESXi admite el arranque seguro si está habilitado en el hardware.
Cómo ESXi utiliza el arranque seguro UEFI
ESXi 6.5 y las versiones posteriores admiten el arranque seguro UEFI en cada nivel de la pila de arranque.
Con el arranque seguro habilitado, la secuencia de arranque es la que se describe a continuación.
- A partir de vSphere 6.5, el cargador de arranque de ESXi contiene una clave pública de VMware. El cargador de arranque utiliza la clave para verificar la firma del kernel y un subconjunto pequeño del sistema que incluye un verificador VIB de arranque seguro.
- El verificador VIB verifica cada paquete VIB que se instala en el sistema.
En este punto, todo el sistema arranca con la raíz de confianza en los certificados que son parte del firmware UEFI.
Solución de problemas del arranque seguro UEFI
Si no se logra un arranque seguro en ningún nivel de la secuencia de arranque, se produce un error.
- Si intenta arrancar con un cargador de arranque no firmado o alterado, se produce un error durante la secuencia de arranque. El mensaje exacto depende del proveedor de hardware. Se puede parecer al siguiente error o ser diferente.
UEFI0073: Unable to boot PXE Device...because of the Secure Boot policy
- Si se alteró el kernel, se produce un error como el siguiente.
Fatal error: 39 (Secure Boot Failed)
- Si se alteró un paquete (VIB o controlador), se muestra una pantalla violeta con el siguiente mensaje.
UEFI Secure Boot failed: Failed to verify signatures of the following vibs (XX)
Para resolver problemas con el arranque seguro, siga estos pasos.
- Reinicie el host con el arranque seguro deshabilitado.
- Ejecute el script de verificación de arranque seguro (consulte Ejecutar el script de validación de arranque seguro en un host ESXi actualizado).
- Examine la información en el archivo /var/log/esxupdate.log.