UEFI セキュア ブートをサポートしていない ESXi の以前のバージョンから ESXi ホストをアップグレードした後は、セキュア ブートを有効にできます。セキュア ブートを有効にできるかどうかは、アップグレードの実行方法と、アップグレードによってすべての既存の VIB が置換されたか、一部の VIB が変更されないまま残されたかによって異なります。アップグレード後に検証スクリプトを実行して、アップグレード後のインストールがセキュア ブートをサポートするかどうかを判断できます。

セキュア ブートを正常に行うためには、インストールされているすべての VIB の署名がシステムで使用できる必要があります。ESXi の以前のバージョンは、VIB のインストール時に署名を保存できません。

UEFI セキュア ブートでは、元の VIB 署名を保持することが求められます。以前のバージョンの ESXi では署名は保持されませんが、アップグレード プロセスによって VIB の署名が更新されます。
  • ESXCLI コマンドを使用してアップグレードする場合、アップグレード後の VIB には、保持された署名が含められません。この場合は、そのシステム上でセキュア ブートを実行できません。
  • ISO を使用してアップグレードする場合、アップグレード プロセスは、すべての新しい VIB の署名を保存します。これは、ISO を使用する vSphere Update Manager のアップグレードにも適用されます。

以前の VIB がシステムに残っている場合、それらの VIB の署名はまだ使用できず、セキュア ブートは実行できません。

たとえば、システムがサードパーティ製ドライバを使用しており、VMware のアップグレードにドライバの新しいバージョンの VIB が含まれていない場合、アップグレード後に以前の VIB がシステムに残ります。場合によって、VMware は古い VIB に置き換わる新しい VIB を提供することなく、特定の VIB の進行中の開発を停止する、またはその VIB を廃止することがあります。そのため、アップグレード後に古い VIB がシステムに残ることがあります。

注:
UEFI セキュア ブートには、最新のブートローダーも必要です。このスクリプトは、最新のブートローダーをチェックしません。

前提条件

  • ハードウェアで UEFI セキュア ブートがサポートされることを確認します。
  • すべての VIB が、最低でも許容レベル PartnerSupported で署名されていることを確認します。CommunitySupported レベルの VIB を含めると、セキュア ブートを使用できません。

手順

  1. ESXi をアップグレードして、次のコマンドを実行します。
    /usr/lib/vmware/secureboot/bin/secureBoot.py -c
  2. 出力を確認します。
    Secure boot can be enabled または Secure boot CANNOT be enabled のいずれかが出力されます。