Après la mise à niveau d'un hôte ESXi depuis une ancienne version d'ESXi qui ne prenait pas en charge le démarrage sécurisé UEFI, vous pouvez éventuellement activer le démarrage sécurisé. Cela dépendra de la manière dont vous avez effectué la mise à niveau et de si celle-ci a remplacé tous les VIB existants ou si certains VIB sont restés inchangés. Pour savoir si le démarrage sécurisé est pris en charge sur l'installation mise à niveau, vous pouvez exécuter un script de validation après avoir effectué la mise à niveau.

Pourquoi et quand exécuter cette tâche

Pour que le démarrage sécurisé réussisse, la signature de chaque VIB installé doit être disponible sur le système. Les versions antérieures d'ESXi n'enregistrent pas les signatures lors de l'installation des VIB.

  • Si vous procédez à la mise à niveau à l'aide des commandes ESXCLI, l'ancienne version d'ESXi effectue l'installation des nouveaux VIB, de sorte que leurs signatures ne soient pas enregistrées et que le démarrage sécurisé ne soit pas possible.

  • Si vous procédez à la mise à niveau à l'aide de l'image ISO, les signatures des nouveaux VIB sont enregistrées. Cela s'applique également aux mises à niveau vSphere Upgrade Manager qui utilisent l'image ISO.

  • Si des anciens VIB restent sur le système, leurs signatures ne sont pas disponibles et le démarrage sécurisé n'est pas possible.

    • Si le système utilise un pilote tiers et si la mise à niveau de VMware n'inclut pas de nouvelle version du VIB pilote, l'ancien VIB est conservé sur le système après la mise à niveau.

    • Dans de rares cas, VMware peut stopper le développement d'un VIB spécifique sans fournir un nouveau VIB qui le remplace ou le rend obsolète, l'ancien VIB est donc conservé sur le système après la mise à niveau.

Remarque :

Le démarrage sécurisé UEFI nécessite également un chargeur de démarrage à jour. Ce script ne vérifie pas si le chargeur de démarrage est à jour.

Préambules

  • Vérifiez si le matériel prend en charge le démarrage sécurisé UEFI.

  • Vérifiez si tous les VIB sont signés avec le niveau d'acceptation minimum PartnerSupported. Si vous incluez des VIB au niveau CommunitySupported, vous ne pouvez pas utiliser le démarrage sécurisé.

Procédure

  1. Mettez à niveau le dispositif ESXi et exécutez la commande suivante.
    /usr/lib/vmware/secureboot/bin/secureBoot.py -c
  2. Vérifiez le résultat.

    Le résultat inclut Secure boot can be enabled ou Secure boot CANNOT be enabled.