Après la mise à niveau d'un hôte ESXi depuis une ancienne version de ESXi qui ne prenaient pas en charge le démarrage sécurisé UEFI, vous pourrez peut-être activer le démarrage sécurisé. Cela dépendra de la manière dont vous avez effectué la mise à niveau et de si celle-ci a remplacé tous les VIB existants ou si certains VIB sont restés inchangés. Pour savoir si le démarrage sécurisé est pris en charge sur l'installation mise à niveau, vous pouvez exécuter un script de validation après avoir effectué la mise à niveau.

Pourquoi et quand exécuter cette tâche

Pour que le démarrage sécurisé réussisse, la signature de chaque VIB installé doit être disponible sur le système. Les versions antérieures d'ESXi n'enregistrent pas les signatures lors de l'installation des VIB.

Le démarrage sécurisé UEFI nécessite que les signatures VIB d'origine soient persistantes. Les anciennes versions de ESXi ne conservent pas les signatures, mais le processus de mise à niveau met à jour les signatures VIB.

  • Si vous effectuez la mise à niveau en utilisant les commandes ESXCLI, les VIB mis à niveau ne comportent pas de signatures persistantes. Dans ce cas, vous ne pouvez pas effectuer de démarrage sécurisé sur le système.

  • Si vous mettez à niveau à l'aide de l'image ISO, le processus de mise à niveau enregistre les signatures de tous les nouveaux VIB. Cela s'applique également aux mises à niveau de vSphere Update Manager qui utilisent l'image ISO.

Si des anciens VIB restent sur le système, les signatures de ces VIB ne sont toujours pas disponibles et le démarrage sécurisé n'est pas possible.

Par exemple, si le système utilise un pilote tiers et si la mise à niveau de VMware n'inclut pas de nouvelle version du VIB pilote, alors l'ancien VIB reste sur le système après la mise à niveau. Dans de rares cas, VMware peut stopper le développement d'un VIB spécifique sans fournir un nouveau VIB qui le remplace ou le rend obsolète, l'ancien VIB reste donc sur le système après la mise à niveau.

Remarque :

Le démarrage sécurisé UEFI nécessite également un chargeur de démarrage à jour. Ce script ne vérifie pas si le chargeur de démarrage est à jour.

Préambules

  • Vérifiez si le matériel prend en charge le démarrage sécurisé UEFI.

  • Vérifiez si tous les VIB sont signés avec le niveau d'acceptation minimum PartnerSupported. Si vous incluez des VIB au niveau CommunitySupported, vous ne pouvez pas utiliser le démarrage sécurisé.

Procédure

  1. Mettez à niveau le dispositif ESXi et exécutez la commande suivante.
    /usr/lib/vmware/secureboot/bin/secureBoot.py -c
  2. Vérifiez le résultat.

    Le résultat inclut Secure boot can be enabled ou Secure boot CANNOT be enabled.