セキュア ブートは、UEFI ファームウェア標準の一部です。セキュア ブートが有効な場合、オペレーティング システムのブートローダーが暗号で署名されていない限り、マシンに UEFI ドライバまたはアプリケーションはロードされません。vSphere 6.5 以降、ESXi は、ハードウェアでセキュア ブートが有効な場合にこれをサポートします。
ESXi での UEFI セキュア ブートの使用方法
ESXi バージョン 6.5 以降では、ブート スタックの各レベルで UEFI セキュア ブートをサポートしています。
注: アップグレードされたホストで UEFI セキュア ブートを使用する前に、
アップグレード後の ESXiホストでのセキュア ブート検証スクリプトの実行 の手順に従って互換性を確認してください。
セキュア ブートが有効な場合、ブート シーケンスは次のようになります。
- vSphere 6.5 以降、ESXi ブートローダーには VMware パブリック キーが含まれます。ブートローダーは、このキーを使用して、カーネルの署名と、セキュア ブート VIB 検証機能を含むシステムの小さなサブセットを検証します。
- VIB 検証機能は、システムにインストールされているすべての VIB パッケージを検証します。
この時点で、UEFI ファームウェアの一部である証明書の信頼のルートを使用して、システム全体が起動されます。
注: vSphere 7.0 Update 2 以降をインストールまたはアップグレードするときに、
ESXi ホストに TPM がある場合、TPM は UEFI セキュア ブートの PCR 値に基づいて TPM ポリシーを使用して機密情報をシーリングします。この値は、ポリシーが true として満たされている場合、その後の再起動時にロードされます。vSphere 7.0 Update 2 以降で UEFI セキュア ブートを無効または有効にするには、
セキュアな ESXi 構成のセキュア ブートの適用の有効化/無効化を参照してください。
UEFI セキュア ブートのトラブルシューティング
セキュア ブートがブート シーケンスのいずれかのレベルで成功しない場合、エラーとなります。
エラー メッセージは、ハードウェア ベンダーによって、および検証が成功しなかったレベルによって異なります。
- 署名のないブートローダーまたは改ざんされているブートローダーでブートすると、ブート シーケンスでエラーとなります。表示されるメッセージは、ハードウェア ベンダーによって異なります。次のようなエラーが表示される場合もあれば、別のエラーが表示される場合もあります。
UEFI0073: Unable to boot PXE Device...because of the Secure Boot policy
- カーネルが改ざんされている場合、次のようなエラーが表示されます。
Fatal error: 39 (Secure Boot Failed)
- パッケージ(VIB またはドライバ)が改ざんされている場合、パープル スクリーンに次のメッセージが表示されます。
UEFI Secure Boot failed: Failed to verify signatures of the following vibs (XX)
セキュア ブートの問題を解決するには、次の手順に従います。
- セキュア ブートを無効にしてホストを再起動します。
- セキュア ブート検証スクリプトを実行します(アップグレード後の ESXiホストでのセキュア ブート検証スクリプトの実行を参照してください)。
- /var/log/esxupdate.log ファイル内の情報を確認します。
