Arranque seguro UEFI para hosts ESXi

El arranque seguro forma parte del estándar de firmware UEFI. Al utilizar el arranque seguro, una máquina se niega a cargar cualquier controlador UEFI o aplicación, salvo que el cargador de arranque del sistema operativo esté firmado con datos de cifrado. En vSphere 6.5 y versiones posteriores, ESXi admite el arranque seguro si está habilitado en el hardware.

Cómo ESXi utiliza el arranque seguro UEFI

ESXi 6.5 y las versiones posteriores admiten el arranque seguro UEFI en cada nivel de la pila de arranque.

Nota: Antes de usar el arranque seguro UEFI en un host que se haya actualizado, siga las instrucciones en Ejecutar el script de validación de arranque seguro después de la actualización de ESXi para verificar la compatibilidad.

La pila de arranque seguro UEFI incluye varios elementos, que se explican en el texto. — Figura 1. arranque seguro UEFI

Al utilizar el arranque seguro, la secuencia de arranque es la que se describe a continuación.

En vSphere 6.5 y versiones posteriores, el cargador de arranque de ESXi contiene una clave pública de VMware. El cargador de arranque utiliza la clave para verificar la firma del kernel y un subconjunto pequeño del sistema que incluye un verificador VIB de arranque seguro.
El verificador VIB verifica cada paquete VIB que se instala en el sistema.

En este punto, todo el sistema arranca con la raíz de confianza en los certificados que son parte del firmware UEFI.

Nota: Cuando instala o actualiza a vSphere 7.0 Update 2 o a una versión posterior y un host ESXi tiene un TPM, el TPM sella la información confidencial mediante una directiva de TPM basada en valores de PCR para el arranque seguro UEFI. Este valor se carga durante los reinicios posteriores si se cumple la directiva como verdadera. Para saber cómo desactivar o activar el arranque seguro UEFI en vSphere 7.0 Update 2 o una versión posterior, consulte Activar o desactivar la aplicación del arranque seguro para una configuración de ESXi segura.

Solución de problemas del arranque seguro UEFI

Si no se logra un arranque seguro en ningún nivel de la secuencia de arranque, se produce un error.

El mensaje de error depende del proveedor de hardware y del nivel en el que no se pudo realizar la verificación.

Si intenta arrancar con un cargador de arranque no firmado o alterado, se produce un error durante la secuencia de arranque. El mensaje exacto depende del proveedor de hardware. Se puede parecer al siguiente error o ser diferente.
```
UEFI0073: Unable to boot PXE Device...because of the Secure Boot policy 
```
Si se alteró el kernel, se produce un error como el siguiente.
```
Fatal error: 39 (Secure Boot Failed)
```
Si se alteró un paquete (VIB o controlador), se muestra una pantalla violeta con el siguiente mensaje.
```
UEFI Secure Boot failed:
Failed to verify signatures of the following vibs (XX)
```

Para resolver problemas con el arranque seguro, siga estos pasos.

Reinicie el host con el arranque seguro desactivado.
Ejecute el script de verificación de arranque seguro (consulte Ejecutar el script de validación de arranque seguro después de la actualización de ESXi).
Examine la información en el archivo /var/log/esxupdate.log.

Ejecutar el script de validación de arranque seguro después de la actualización de ESXi

Después de actualizar un host ESXi desde una versión que no admite el arranque seguro UEFI, debe comprobar si puede activar el arranque seguro.

Para que el arranque seguro se realice correctamente, la firma de cada VIB instalado debe estar disponible en el sistema. Las versiones anteriores de ESXi no guardan las firmas cuando se instalan los VIB.

Si realiza la actualización mediante comandos ESXCLI, la versión anterior de ESXi instalará los nuevos VIB, por lo que no se guardarán las firmas y no será posible realizar el arranque seguro.
Si realiza la actualización mediante el archivo ISO, se guardarán las firmas de los nuevos VIB. Esto también es así para las actualizaciones de vSphere Lifecycle Manager que utilicen el archivo ISO.
Si los VIB anteriores permanecen en el sistema, las firmas de dichos VIB no estarán disponibles y no será posible realizar el arranque seguro.
- Si el sistema utiliza un controlador de terceros y la actualización de VMware no incluye una nueva versión del VIB de controlador, el VIB anterior permanecerá en el sistema tras la actualización.
- En casos excepcionales, VMware puede descartar el desarrollo en curso de un VIB específico sin proporcionar un nuevo VIB que lo reemplace o lo deje obsoleto, de manera que el VIB anterior permanece en el sistema tras la actualización.

Nota: El arranque seguro UEFI también requiere un cargador de arranque actualizado. Este script no comprueba que haya un cargador de arranque actualizado.

Requisitos previos

Después de actualizar un host ESXi a partir de una versión anterior de ESXi que no admitía el arranque seguro UEFI, es posible que pueda activar el arranque seguro. La posibilidad de activar el arranque seguro depende de la forma en la que se haya hecho la actualización y de si esta reemplazó todos los VIB existentes o dejó alguno sin modificar. Puede ejecutar el script de validación después de realizar la actualización para determinar si la instalación actualizada admite el arranque seguro.

Verifique que el hardware admita el arranque seguro UEFI.
Verifique que todos los VIB estén firmados con un nivel de aceptación PartnerSupported, como mínimo. Si incluye VIB en el nivel CommunitySupported, no podrá usar el arranque seguro.

Procedimiento

Actualice ESXi y ejecute el siguiente comando.

/usr/lib/vmware/secureboot/bin/secureBoot.py -c

Compruebe el resultado.
El resultado incluye Secure boot can be enabled o Secure boot CANNOT be enabled.