Le démarrage sécurisé est une fonctionnalité standard du microprogramme UEFI. Lorsque le démarrage sécurisé est activé, si le chargeur de démarrage du système d'exploitation n'est pas signé par chiffrement, la machine refuse de charger un pilote ou une application UEFI. À partir de vSphere 6.5, ESXi prend en charge le démarrage sécurisé s'il est activé dans le matériel.
Présentation du démarrage sécurisé UEFI
ESXi 6.5 et versions ultérieures prend en charge le démarrage sécurisé UEFI à chaque niveau de la pile de démarrage.
Lorsque le démarrage sécurisé est activé, la séquence de démarrage se déroule de la manière suivante.
- À partir de vSphere 6.5, le chargeur de démarrage ESXi contient une clé publique VMware. Le chargeur de démarrage utilise cette clé pour vérifier la signature du noyau et un petit sous-ensemble du système incluant un vérificateur VIB de démarrage sécurisé.
- Le vérificateur VIB vérifie chaque module VIB installé sur le système.
L'ensemble du système démarre alors, avec la racine d'approbation dans les certificats faisant partie du microprogramme UEFI.
Dépannage du démarrage sécurisé UEFI
Si le démarrage sécurisé échoue à un niveau de la séquence de démarrage, une erreur se produit.
- Si vous tentez de démarrer la machine avec un chargeur de démarrage non signé ou qui a été falsifié, une erreur se produit lors de la séquence de démarrage. Le message exact dépend du fournisseur du matériel. Il peut être similaire au message d'erreur suivant.
UEFI0073: Unable to boot PXE Device...because of the Secure Boot policy
- Si le noyau a été falsifié, une erreur similaire à la suivante se produit.
Fatal error: 39 (Secure Boot Failed)
- Si un module (VIB ou pilote) a été falsifié, un écran violet avec le message suivant s'affiche.
UEFI Secure Boot failed: Failed to verify signatures of the following vibs (XX)
Pour résoudre les problèmes de démarrage sécurisé, suivez la procédure suivante.
- Redémarrez l'hôte avec le démarrage sécurisé désactivé.
- Exécutez le script de vérification du démarrage sécurisé (voir Exécuter le script de validation du démarrage sécurisé sur un hôte ESXi mis à niveau).
- Examinez les informations dans le fichier /var/log/esxupdate.log.