從不支援 UEFI 安全開機的舊版 ESXi 升級 ESXi 主機後,或許可以啟用安全開機。是否可以啟用安全開機取決於您如何執行升級,以及升級是否取代所有現有 VIB,或保留部分 VIB 不變。您可以在執行升級後執行驗證指令碼,以確定升級的安裝是否支援安全開機。

執行這項作業的原因和時機

若要成功執行安全開機,每個已安裝的 VIB 的簽章必須在系統上可用。在安裝 VIB 時,較舊版本的 ESXi 不會儲存簽章。

UEFI 安全開機需要保存原始 VIB 簽章。舊版 ESXi 不保存簽章,但升級程序會更新 VIB 簽章。

  • 如果是使用 ESXCLI 命令升級,則升級後的 VIB 將不具有保存的簽章。在此情況下,您無法在該系統上執行安全開機。

  • 如果您使用 ISO 升級,升級程序會儲存所有新 VIB 的簽章。這也適用於使用 ISO 的 vSphere Update Manager 升級。

如果任何舊 VIB 仍保留在系統上,則這些 VIB 的簽章仍不可用且不能安全開機。

例如,如果系統使用第三方驅動程式,且 VMware 升級不包含新版驅動程式 VIB,則升級後舊 VIB 會保留在系統上。在少數情況下,VMware 可能會終止進行中的特定 VIB 的開發,而不提供取代或使其過時的新 VIB,因此升級後舊 VIB 會保留在系統上。

備註︰

UEFI 安全開機還需要使用最新的開機載入器。此指令碼不會檢查是否有最新的開機載入器。

先決條件

  • 請確認硬體支援 UEFI 安全開機。

  • 請確認所有 VIB 均在接受程度至少為 PartnerSupported 的情況下簽署。如果包含處於 CommunitySupported 程度的 VIB,則無法使用安全開機。

程序

  1. 升級 ESXi 並執行以下命令。
    /usr/lib/vmware/secureboot/bin/secureBoot.py -c
  2. 檢查輸出。

    輸出包含 Secure boot can be enabledSecure boot CANNOT be enabled