UEFI セキュア ブートをサポートしていないバージョンから ESXi ホストをアップグレードした後、セキュア ブートを有効にできるかどうかを確認する必要があります。

セキュア ブートを正常に行うためには、インストールされているすべての VIB の署名がシステムで使用できる必要があります。ESXi の以前のバージョンは、VIB のインストール時に署名を保存できません。
  • esxcli コマンドを使用してアップグレードすると、古いバージョンの ESXi は新しい VIB のインストールを実行するため、署名が保存されず、セキュア ブートは実行できません。
  • ISO を使用してアップグレードすると、新しい VIB は署名を保存できます。これは、ISO を使用した vSphere Lifecycle Manager のアップグレードにもあてはまります。
  • 以前の VIB がシステムに残っている場合、それらの VIB の署名は使用できず、セキュア ブートは実行できません。
    • システムがサードパーティ製ドライバを使用しており、VMware のアップグレードにドライバ VIB の新しいバージョンが含まれていない場合、アップグレード後に以前のバージョンの VIB がシステムに残ります。
    • まれに、VMware は特定の VIB の開発を継続せず、古い VIB を置き換える新しい VIB を提供しない場合があります。その際は、アップグレード後に古い VIB がシステムに残ることがあります。
注: UEFI セキュア ブートには、最新のブートローダーも必要です。このスクリプトは、最新のブートローダーをチェックしません。

前提条件

UEFI セキュア ブートをサポートしていない ESXi の以前のバージョンから ESXi ホストをアップグレードした後は、セキュア ブートを有効にできる場合があります。セキュア ブートを有効にできるかどうかは、アップグレードの実行方法と、アップグレードによってすべての既存の VIB が置換されたか、一部の VIB が変更されないまま残されたかによって異なります。アップグレード後に検証スクリプトを実行して、アップグレード後のインストールがセキュア ブートをサポートするかどうかを判断できます。
  • ハードウェアで UEFI セキュア ブートがサポートされることを確認します。
  • すべての VIB が、最低でも許容レベル PartnerSupported で署名されていることを確認します。CommunitySupported レベルの VIB を含めると、セキュア ブートを使用できません。

手順

  1. ESXi をアップグレードして、次のコマンドを実行します。
    /usr/lib/vmware/secureboot/bin/secureBoot.py -c
  2. 出力を確認します。
    Secure boot can be enabled または Secure boot CANNOT be enabled のいずれかが出力されます。