El arranque seguro forma parte del estándar de firmware UEFI. Con el arranque seguro habilitado, una máquina se niega a cargar cualquier controlador UEFI o aplicación, salvo que el cargador de arranque del sistema operativo esté firmado con datos de cifrado. A partir de vSphere 6.5, ESXi admite el arranque seguro si está habilitado en el hardware.

Cómo ESXi utiliza el arranque seguro UEFI

ESXi 6.5 y las versiones posteriores admiten el arranque seguro UEFI en cada nivel de la pila de arranque.

Nota: Antes de usar el arranque seguro UEFI en un host que se haya actualizado, siga las instrucciones en Ejecutar el script de validación de arranque seguro en un host ESXi actualizado para verificar la compatibilidad.
Figura 1. arranque seguro UEFI
La pila de arranque seguro UEFI incluye varios elementos, que se explican en el texto.

Con el arranque seguro habilitado, la secuencia de arranque es la que se describe a continuación.

  1. A partir de vSphere 6.5, el cargador de arranque de ESXi contiene una clave pública de VMware. El cargador de arranque utiliza la clave para verificar la firma del kernel y un subconjunto pequeño del sistema que incluye un verificador VIB de arranque seguro.
  2. El verificador VIB verifica cada paquete VIB que se instala en el sistema.

En este punto, todo el sistema arranca con la raíz de confianza en los certificados que son parte del firmware UEFI.

Nota: Cuando instala o actualiza a vSphere 7.0 Update 2 o a una versión posterior, y un host ESXi tiene un TPM, el TPM sella la información confidencial mediante una directiva de TPM basada en valores de PCR para el arranque seguro UEFI. Este valor se carga durante los reinicios posteriores si se cumple la directiva como verdadera. Para saber cómo deshabilitar o habilitar el arranque seguro UEFI en vSphere 7.0 Update 2 o una versión posterior, consulte Habilitar o deshabilitar la aplicación del arranque seguro para una configuración de ESXi segura.

Solución de problemas del arranque seguro UEFI

Si no se logra un arranque seguro en ningún nivel de la secuencia de arranque, se produce un error.

El mensaje de error depende del proveedor de hardware y del nivel en el que no se pudo realizar la verificación.
  • Si intenta arrancar con un cargador de arranque no firmado o alterado, se produce un error durante la secuencia de arranque. El mensaje exacto depende del proveedor de hardware. Se puede parecer al siguiente error o ser diferente.
    UEFI0073: Unable to boot PXE Device...because of the Secure Boot policy 
  • Si se alteró el kernel, se produce un error como el siguiente.
    Fatal error: 39 (Secure Boot Failed)
  • Si se alteró un paquete (VIB o controlador), se muestra una pantalla violeta con el siguiente mensaje.
    UEFI Secure Boot failed:
    Failed to verify signatures of the following vibs (XX)

Para resolver problemas con el arranque seguro, siga estos pasos.

  1. Reinicie el host con el arranque seguro deshabilitado.
  2. Ejecute el script de verificación de arranque seguro (consulte Ejecutar el script de validación de arranque seguro en un host ESXi actualizado).
  3. Examine la información en el archivo /var/log/esxupdate.log.