セキュア ブートは、UEFI ファームウェア標準の一部です。セキュア ブートが有効な場合、オペレーティング システムのブートローダーが暗号で署名されていない限り、マシンに UEFI ドライバまたはアプリケーションはロードされません。vSphere 6.5 以降、ESXi は、ハードウェアでセキュア ブートが有効な場合にこれをサポートします。

UEFI セキュア ブートの概要

ESXi バージョン 6.5 以降では、ブート スタックの各レベルで UEFI セキュア ブートをサポートしています。

注: ESXi 6.5 にアップグレードされたホストで UEFI セキュア ブートを使用する前に、 アップグレード後の ESXi ホストでのセキュア ブート検証スクリプトの実行の手順に従って互換性を確認してください。 esxcli コマンドを使用して ESXi ホストをアップグレードしてもブートローダーはアップグレードされません。この場合は、そのシステム上でセキュア ブートを実行できません。
図 1. UEFI セキュア ブート
UEFI セキュア ブート スタックには、本文で説明されているように複数の要素が含まれます。

セキュア ブートが有効な場合、ブート シーケンスは次のようになります。

  1. vSphere 6.5 以降、ESXi ブートローダーには VMware パブリック キーが含まれます。ブートローダーは、このキーを使用して、カーネルの署名と、セキュア ブート VIB 検証機能を含むシステムの小さなサブセットを検証します。
  2. VIB 検証機能は、システムにインストールされているすべての VIB パッケージを検証します。

この時点で、UEFI ファームウェアの一部である証明書の信頼のルートを使用して、システム全体が起動されます。

UEFI セキュア ブートのトラブルシューティング

セキュア ブートがブート シーケンスのいずれかのレベルで成功しない場合、エラーとなります。

エラー メッセージは、ハードウェア ベンダーによって、および検証が成功しなかったレベルによって異なります。
  • 署名のないブートローダーまたは改ざんされているブートローダーでブートすると、ブート シーケンスでエラーとなります。表示されるメッセージは、ハードウェア ベンダーによって異なります。次のようなエラーが表示される場合もあれば、別のエラーが表示される場合もあります。
    UEFI0073: Unable to boot PXE Device...because of the Secure Boot policy 
  • カーネルが改ざんされている場合、次のようなエラーが表示されます。
    Fatal error: 39 (Secure Boot Failed)
  • パッケージ(VIB またはドライバ)が改ざんされている場合、パープル スクリーンに次のメッセージが表示されます。
    UEFI Secure Boot failed:
    Failed to verify signatures of the following vibs (XX)

セキュア ブートの問題を解決するには、次の手順に従います。

  1. セキュア ブートを無効にしてホストを再起動します。
  2. セキュア ブート検証スクリプトを実行します(アップグレード後の ESXi ホストでのセキュア ブート検証スクリプトの実行を参照してください)。
  3. /var/log/esxupdate.log ファイル内の情報を確認します。