보안 부팅은 UEFI 펌웨어 표준의 일부입니다. 보안 부팅을 사용하도록 설정하는 경우 운영 체제 부팅 로더의 서명이 암호화된 경우가 아니면 시스템에서 모든 UEFI 드라이버 또는 애플리케이션의 로드를 거부합니다. vSphere 6.5부터 ESXi는 보안 부팅을 지원합니다(하드웨어에서 보안 부팅을 사용하도록 설정한 경우).

ESXi가 UEFI 보안 부팅을 사용하는 방법

ESXi 버전 6.5 이상에서는 부팅 스택의 각 수준에서 UEFI 보안 부팅을 지원합니다.

참고: 업그레이드된 호스트에서 UEFI 보안 부팅을 사용하기 전에 업그레이드된 ESXi 호스트에서 보안 부팅 유효성 검사 스크립트 실행의 다음 지침에 따라 호환성을 확인하십시오.
그림 1. UEFI 보안 부팅
UEFI 보안 부팅 스택에는 텍스트에서 설명하는 여러 요소가 포함됩니다.

보안 부팅을 사용하도록 설정하는 경우 부팅 순서는 다음과 같이 진행됩니다.

  1. vSphere 6.5부터 ESXi 부팅 로더에는 VMware 공용 키가 포함됩니다. 부팅 로더는 이 키를 사용하여 커널의 서명 그리고 보안 부팅 VIB 확인 프로그램이 포함된 시스템의 작은 하위 집합을 확인합니다.
  2. VIB 확인 프로그램은 시스템에 설치된 모든 VIB 패키지를 확인합니다.

이때, UEFI 펌웨어의 일부인 인증서의 신뢰 루트와 함께 전체 시스템이 부팅됩니다.

참고: vSphere 7.0 업데이트 2 이상을 설치하거나 업그레이드하고 ESXi 호스트에 TPM이 있는 경우 TPM은 UEFI 보안 부팅의 PCR 값을 기반으로 TPM 정책을 사용하여 중요 정보를 봉인합니다. 이 값은 정책이 true로 충족되는 경우 후속 재부팅 중에 로드됩니다. vSphere 7.0 업데이트 2 이상에서 UEFI 보안 부팅을 사용하거나 사용하지 않도록 설정하려면 보안 ESXi 구성에 대한 보안 부팅 적용 사용 또는 사용 안 함의 내용을 참조하십시오.

UEFI 보안 부팅 문제 해결

보안 부팅이 부팅 순서의 임의 수준에서 실패하는 경우 오류가 발생합니다.

오류 메시지는 하드웨어 벤더 그리고 확인이 실패한 수준에 따라 달라집니다.
  • 서명되지 않았거나 임의로 변경된 부팅 로더를 사용하여 부팅을 시도하는 경우 부팅 순서 중에 오류가 발생합니다. 정확한 메시지 내용은 하드웨어 벤더에 따라 다릅니다. 다음과 같은 오류가 표시될 수 있습니다(내용이 다를 수도 있음).
    UEFI0073: Unable to boot PXE Device...because of the Secure Boot policy 
  • 커널이 임의로 변경된 경우 다음과 같은 오류가 발생할 수 있습니다.
    Fatal error: 39 (Secure Boot Failed)
  • 패키지(VIB 또는 드라이버)가 임의로 변경된 경우 보라색 화면에 다음과 같은 메시지가 표시됩니다.
    UEFI Secure Boot failed:
    Failed to verify signatures of the following vibs (XX)

보안 부팅 관련 문제를 해결하려면 다음 단계를 수행합니다.

  1. 보안 부팅이 사용되지 않도록 설정하고 호스트를 재부팅합니다.
  2. 보안 부팅 확인 스크립트를 실행합니다(업그레이드된 ESXi 호스트에서 보안 부팅 유효성 검사 스크립트 실행 참조).
  3. /var/log/esxupdate.log 파일의 정보를 검토합니다.