Le démarrage sécurisé est une fonctionnalité standard du microprogramme UEFI. Lorsque le démarrage sécurisé est activé, si le chargeur de démarrage du système d'exploitation n'est pas signé par chiffrement, la machine refuse de charger un pilote ou une application UEFI. À partir de vSphere 6.5, ESXi prend en charge le démarrage sécurisé s'il est activé dans le matériel.

Présentation du démarrage sécurisé UEFI

ESXi 6.5 et versions ultérieures prend en charge le démarrage sécurisé UEFI à chaque niveau de la pile de démarrage.

Note : Avant d'utiliser le démarrage sécurisé UEFI sur un hôte qui a été mis à niveau vers ESXi 6.5, vérifiez la compatibilité en suivant les instructions dans Exécuter le script de validation du démarrage sécurisé sur un hôte ESXi mis à niveau. Si vous mettez à niveau un hôte ESXi en utilisant les commandes esxcli, la mise à niveau ne prend pas en charge le chargeur de démarrage. Dans ce cas, vous ne pouvez pas effectuer de démarrage sécurisé sur le système.
Figure 1. Démarrage sécurisé UEFI
La pile de démarrage sécurisé UEFI inclut plusieurs éléments, qui sont expliqués dans le texte.

Lorsque le démarrage sécurisé est activé, la séquence de démarrage se déroule de la manière suivante.

  1. À partir de vSphere 6.5, le chargeur de démarrage ESXi contient une clé publique VMware. Le chargeur de démarrage utilise cette clé pour vérifier la signature du noyau et un petit sous-ensemble du système incluant un vérificateur VIB de démarrage sécurisé.
  2. Le vérificateur VIB vérifie chaque module VIB installé sur le système.

L'ensemble du système démarre alors, avec la racine d'approbation dans les certificats faisant partie du microprogramme UEFI.

Dépannage du démarrage sécurisé UEFI

Si le démarrage sécurisé échoue à un niveau de la séquence de démarrage, une erreur se produit.

Le message d'erreur dépend du fournisseur du matériel et du niveau où la vérification a échoué.
  • Si vous tentez de démarrer la machine avec un chargeur de démarrage non signé ou qui a été falsifié, une erreur se produit lors de la séquence de démarrage. Le message exact dépend du fournisseur du matériel. Il peut être similaire au message d'erreur suivant. 
    UEFI0073: Unable to boot PXE Device...because of the Secure Boot policy
  • Si le noyau a été falsifié, une erreur similaire à la suivante se produit. 
    Fatal error: 39 (Secure Boot Failed)
  • Si un module (VIB ou pilote) a été falsifié, un écran violet avec le message suivant s'affiche. 
    UEFI Secure Boot failed:
Failed to verify signatures of the following vibs (XX)

Pour résoudre les problèmes de démarrage sécurisé, suivez la procédure suivante.

  1. Redémarrez l'hôte avec le démarrage sécurisé désactivé.
  2. Exécutez le script de vérification du démarrage sécurisé (voir Exécuter le script de validation du démarrage sécurisé sur un hôte ESXi mis à niveau).
  3. Examinez les informations dans le fichier /var/log/esxupdate.log.