Le démarrage sécurisé est une fonctionnalité standard du microprogramme UEFI. Lorsque le démarrage sécurisé est activé, si le chargeur de démarrage du système d'exploitation n'est pas signé par chiffrement, la machine refuse de charger un pilote ou une application UEFI. À partir de vSphere 6.5, ESXi prend en charge le démarrage sécurisé s'il est activé dans le matériel.

Utilisation du démarrage sécurisé UEFI par ESXi

ESXi 6.5 et versions ultérieures prend en charge le démarrage sécurisé UEFI à chaque niveau de la pile de démarrage.

Note : Avant d'utiliser le démarrage sécurisé UEFI sur un hôte qui a été mis à niveau, vérifiez la compatibilité en suivant les instructions de la section Exécuter le script de validation du démarrage sécurisé sur un hôte ESXi mis à niveau.
Figure 1. Démarrage sécurisé UEFI
La pile de démarrage sécurisé UEFI inclut plusieurs éléments, qui sont expliqués dans le texte.

Lorsque le démarrage sécurisé est activé, la séquence de démarrage se déroule de la manière suivante.

  1. À partir de vSphere 6.5, le chargeur de démarrage ESXi contient une clé publique VMware. Le chargeur de démarrage utilise cette clé pour vérifier la signature du noyau et un petit sous-ensemble du système incluant un vérificateur VIB de démarrage sécurisé.
  2. Le vérificateur VIB vérifie chaque module VIB installé sur le système.

L'ensemble du système démarre alors, avec la racine d'approbation dans les certificats faisant partie du microprogramme UEFI.

Note : Lorsque vous effectuez une installation ou une mise à niveau vers vSphere 7.0 Update 2 (ou une version ultérieure) et qu'un hôte ESXi dispose d'un TPM, celui-ci scelle les informations sensibles en utilisant une stratégie TPM basée sur des valeurs PCR pour le démarrage sécurisé UEFI. Cette valeur est chargée lors des redémarrages suivants si la stratégie est satisfaite avec la valeur true. Pour désactiver ou activer le démarrage sécurisé UEFI dans vSphere 7.0 Update 2 (et versions ultérieures), consultez Activer ou désactiver l'application du démarrage sécurisé pour une configuration ESXi sécurisée.

Dépannage du démarrage sécurisé UEFI

Si le démarrage sécurisé échoue à un niveau de la séquence de démarrage, une erreur se produit.

Le message d'erreur dépend du fournisseur du matériel et du niveau où la vérification a échoué.
  • Si vous tentez de démarrer la machine avec un chargeur de démarrage non signé ou qui a été falsifié, une erreur se produit lors de la séquence de démarrage. Le message exact dépend du fournisseur du matériel. Il peut être similaire au message d'erreur suivant.
    UEFI0073: Unable to boot PXE Device...because of the Secure Boot policy 
  • Si le noyau a été falsifié, une erreur similaire à la suivante se produit.
    Fatal error: 39 (Secure Boot Failed)
  • Si un module (VIB ou pilote) a été falsifié, un écran violet avec le message suivant s'affiche.
    UEFI Secure Boot failed:
    Failed to verify signatures of the following vibs (XX)

Pour résoudre les problèmes de démarrage sécurisé, suivez la procédure suivante.

  1. Redémarrez l'hôte avec le démarrage sécurisé désactivé.
  2. Exécutez le script de vérification du démarrage sécurisé (voir Exécuter le script de validation du démarrage sécurisé sur un hôte ESXi mis à niveau).
  3. Examinez les informations dans le fichier /var/log/esxupdate.log.