PowerFlex: Aktivieren der Durchsetzung von Secure Boot für PowerFlex-Compute-Nodes

Zusammenfassung: Dieser Artikel enthält schrittweise Anleitungen zur Aktivierung der Unified Extensible Firmware Interface (UEFI)-Durchsetzung des sicheren Starts auf Dell PowerFlex-Compute-Nodes, auf denen ESXi oder Linux ausgeführt wird. ...

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Andere Ressourcen ansehen

Weisungen

Achtung: Secure Boot wird nur auf PowerFlex-Compute-Nodes unterstützt, auf denen ESXi oder Linux ausgeführt wird. Er wird auf PowerFlex-Storage-Nodes oder PowerFlex-Management-Nodes nicht unterstützt.

 

Um Secure Boot auf Dell PowerFlex Compute-Nodes zu aktivieren, müssen Sie die folgenden Voraussetzungen erfüllen:

  • Der Startmodus muss im System-BIOS Settings > Boot Settings auf Unified Extensible Firmware Interface (UEFI) eingestellt werden.

    Hinweis: Wenn sich der Host nicht in diesem Modus befindet, können Sie ihn möglicherweise nicht ändern, ohne das Betriebssystem neu zu installieren.
  • Auf dem Server muss TPM 2.0 ( Trusted Platform Module ) installiert sein.
  • Das BIOS sollte die erforderliche Version für das jeweilige PowerEdge-Modell aufweisen, um die Aktivierung von Secure Boot zu unterstützen. Weitere Informationen finden Sie auf der Dell Support-Website.
  • RPQ ist erforderlich, um Secure Boot zu aktivieren. Wenden Sie sich an Ihren Dell Technologies Account Representative, um die Secure Boot-Option für PowerFlex-Nodes über einen RPQ-Prozess (Request for Product Qualification) zu evaluieren und zu aktivieren.
  • Secure Boot muss im iDRAC deaktiviert werden, bevor Bereitstellungen mit PowerFlex Manager durchgeführt werden. Wenn sie aktiviert ist, schlägt die Bereitstellung fehl. Secure Boot sollte erst nach der Bereitstellung aktiviert werden.
Hinweis: Jedes Mal, wenn Sie die Secure Boot-Einstellungen im iDRAC ändern, ist ein Neustart des Servers erforderlich, damit sie wirksam werden.

 

Konfigurieren von Dell PowerEdge iDRAC für Secure Boot:

  1. Melden Sie sich bei der iDRAC-Webschnittstelle an und gehen Sie zu Konfiguration > BIOS-Einstellungen > Systemsicherheit
  2. Legen Sie TPM-Sicherheit auf Ein fest
  3. Erweitern Sie "Erweiterte TPM-Einstellungen" und legen Sie "TPM2 Algorithm Selection" auf SHA256 fest.
  4. Legen Sie Secure Boot auf Enabled fest

Einstellungen für iDRAC Secure Boot

 

  1. Klicken Sie unten auf dem Bildschirm der Systemsicherheitseinstellungen auf Anwenden.
  2. Klicken Sie auf die Schaltfläche Anwenden und Neustart in der unteren linken Ecke des Bildschirms.

Aktivieren Sie Secure Boot für ESXi:

Teilweise Unterstützung: Vertrauenswürdiger Start mit Bestätigung.

  • Sicherer UEFI-Start: Überprüfung der Bootloader- und Kernel-Module beim Start
  • TPM-Maße: Speichert Start-Hash-Messungen in TPM-PCRs (verwendet für Nachweise)
  • TPM-gestützte Verschlüsselung: VM-, vSAN- und Core-Speicherabbild
  • vCenter-Bestätigung: Erkennt, ob der Host in einem manipulierten oder nicht vertrauenswürdigen Zustand gestartet wurde
  • vTPM-Unterstützung auf VMs: VMs kann ein virtuelles TPM für Gastsicherheitsfunktionen erhalten (erfordert auch vCenter KMS-Server)

Volle Unterstützung: Sperrung der Ausführungskontrolle

  • Umfasst alle Funktionen des partiellen Supports
  • Unterzeichnete VIB-Durchsetzung: Stellt sicher, dass VIBs nicht manipuliert werden
    • Es können nur von VMware signierte VIBs installiert werden.
    • Signierte VIBs können nur während des ESXi-Starts geladen werden

Aktivieren Sie die partielle Unterstützung in ESXi:

Für PowerFlex Rack- und Appliance-Nodes muss Secure Boot aktiviert werden, nachdem PowerFlex Manager die Nodes bereitgestellt hat. Wenn sie zuvor aktiviert ist, schlagen Bereitstellungen mit PowerFlex Manager fehl. 

Hinweis: Wenn TPM 2.0, Secure Boot und SHA256 aktiviert sind, bevor ESXi installiert wird (manuell, nicht mit PowerFlex Manager), wird dies beim ersten Neustart automatisch konfiguriert.

Um die partielle Unterstützung zu aktivieren, gehen Sie folgendermaßen vor:

  1. Führen Sie das Validierungsskript aus: /usr/lib/vmware/secureboot/bin/secureBoot.py -c

    • Wenn sie bestanden wird, wird die Meldung "Secure Boot CAN be enabled" angezeigt.
    • Wenn er fehlschlägt, werden unsignierte VIBs aufgelistet. Sie müssen diese entfernen, bevor Sie fortfahren, da der Host sonst beim nächsten Start einen violetten Bildschirm erkennt.
  2. Aktivieren Sie SSH auf dem ESXi-Host und verwenden Sie einen beliebigen SSH-Client, um eine Verbindung zum ESXi-Host über den Root-Nutzer herzustellen.
  3. Überprüfen Sie die Sicherheitsstufe: 
esxcli system settings encryption get
    • Die Ausgabe sollte Folgendes enthalten: 
      • Modus: Keine
      • Installierte VIBs: false“ angezeigt.
      • Sicherer Start erforderlich: false“ angezeigt.
  2. Aktivieren Sie den TPM-Modus: 
esxcli system settings encryption set --mode=TPM --require-secure-boot=true
  1. Starten Sie das Hostsystem neu.
  2. Sobald der Host wieder online ist, überprüfen Sie die Sicherheitsstufe: 
esxcli system settings encryption get
    • Die Ausgabe sollte nun Folgendes anzeigen:
      • Modus: TPM
      • Installierte VIBs: false“ angezeigt.
      • Secure Boot: Richtig
  2. Synchronisieren Sie die Konfiguration mit der Bootbank: 
/bin/backup.sh 0

 

 

Aktivieren Sie die vollständige Unterstützung in ESXi:

  1. Aktivieren Sie SSH auf dem ESXi-Host und verwenden Sie einen beliebigen SSH-Client, um eine Verbindung zum ESXi-Host über den Root-Nutzer herzustellen.
  2. Überprüfen Sie die Sicherheitsstufe:
    • Die Ausgabe sollte Folgendes enthalten: 
      • Modus: TPM
      • Installierte VIBs: false“ angezeigt.
      • Sicherer Start erforderlich: Richtig
  3. Wenn die Ausgabe nicht mit den oben genannten übereinstimmt, aktivieren Sie die partielle Unterstützung gemäß den obigen Anweisungen, bevor Sie fortfahren.
    1. Rufen Sie die aktuellen Einstellungen ab, indem Sie Folgendes ausführen:
esxcli system settings encryption get
    1. Erlauben Sie dem Kernel, die VIB-Durchsetzung zu akzeptieren:
esxcli system settings kernel set -s execInstalledOnly -v TRUE
    1. Schalten Sie den Host aus und dann wieder ein (verwenden Sie keinen Neustart).
    2. Aktivieren Sie die VIB-Erzwingung, indem Sie Folgendes ausführen: 
esxcli system settings encryption set --require-exec-installed-only=T
    1. Starten Sie den Node neu, um signierte VIBs durchzusetzen.
    2. Sobald der Node wieder online ist, überprüfen Sie die Sicherheitsstufe: esxcli system settings encryption get
    3. Synchronisieren Sie die laufende Konfiguration mit der Bootbank: 
/bin/backup.sh 0

Backupschlüssel und -konfigurationen:

Hinweis: Sie müssen immer ein Backup des Wiederherstellungs-Startschlüssels und der Systemkonfiguration durchführen. Überspringen Sie diesen Schritt nicht.
  1. SSH zum ESXi-Host als Root
  2. Anzeigen des Backupschlüssels und Kopieren an einen sicheren Speicherort außerhalb des Node 
esxcli system settings encryption recovery list
    • Kopieren Sie den Wiederherstellungsschlüssel (zweite Spalte) und fügen Sie ihn in eine Textdatei ein, um ihn für eine zukünftige Recovery zu speichern. Die Recovery-ID kann ausgelassen werden.
  2. Erzeugen Sie ein Backup-Bundle auf Hostebene:
vim-cmd hostsvc/firmware/backup_config
  1. Kopieren Sie die Web-URL, die zum Herunterladen des Backup-Bundle bereitgestellt wurde. Speichern Sie dieses Bundle am selben Speicherort wie die Backup-Textdatei des Recovery-Schlüssels. 
Hinweis: Das Backup kann bis zu 30 Sekunden dauern und ist nach 5 Minuten nicht mehr zugänglich. 

 

Aktivieren Sie Secure Boot für Linux:

  1. Stellen Sie eine SSH-Verbindung zu Ihrem Linux-Host als root her und überprüfen Sie, ob Secure Boot auf Ihrem Computer aktiviert ist: 

mokutil --sb-stat
    • Die Ausgabe sollte Folgendes enthalten: SecureBoot Aktiviert
  2. Wenn SDC bereits installiert ist, fahren Sie mit Schritt 4 fort.
  3. Wenn der SDC nicht installiert ist, installieren Sie den SDC-RPM. Die Installation sollte erfolgreich sein, aber das Symbol scini Der Treiber kann nicht geladen werden. Sie sollten die folgende Fehlermeldung erhalten: "scini service failed because the control process exited with error code".
    • So prüfen Sie Details zum Fehler:
      • Führen Sie 
systemctl status scini.service
      • Führen Sie
journalctl -xe
    • Wenn Sie das Häkchen dmesg, sollten Sie Folgendes sehen: Laden des Moduls mit nicht verfügbarem Schlüssel wurde abgelehnt
  2. Ändern Sie das Verzeichnis in /bin/emc/scaleio/scini_sync/certs/. In diesem Verzeichnis finden Sie die SDC-Zertifikate.
  3. Führen Sie den folgenden Befehl aus, um zu bestätigen, dass sie gültig und nicht abgelaufen sind
openssl x509 -in <.pem file from directory> -noout -enddate | cut -d= -f2
Die Ausgabe ist das Ablaufdatum.

 

  1. Wenn das Zertifikat gültig ist, verwenden Sie die mokutil took So importieren Sie die Datei .der zu verwenden. Sie müssen ein Kennwort generieren.
mokutil --import <.der file from directory> (Example: emc_scaleio2026.der)
Es gibt zwei Aufforderungen zur Eingabe des Kennworts.
 
  1. Wenn das mit dem SDC-Paket gelieferte Zertifikat abgelaufen ist, wird Ihnen möglicherweise ein Zertifikat in .pem Format, in das Sie konvertieren müssen .der formatieren Sie mit dem folgenden Befehl:
openssl x509 -in /usr/src/<file.pem> -outform DER -out /usr/src/<file.der>

     Wenden Sie sich bei Bedarf an das Dell Supportteam, um das neue signierte SDC-Paket und die zugehörigen Zertifikate zu erhalten 

    1. Starten Sie den Host neu.
    2. Beim Start, bevor das Linux-Betriebssystem gestartet wird, müssen Sie das Menü Perform MOK management aufrufen. Rufen Sie das MOK-Management auf und wählen Sie MOK registrieren.

    Linux MOK-Managementmenü

    1.  
    Wählen Sie auf dem nächsten Bildschirm View Key 0 aus.

    Tastenmenü

    1.  
    Auf dem nächsten Bildschirm werden die wichtigsten Informationen angezeigt. Drücken Sie eine beliebige Taste, um die Seite Schlüssel registrieren aufzurufen.

    MOK-Ansichtsschlüssel

    1.  
    Geben Sie auf dem nächsten Bildschirm das Kennwort ein, das Sie zuvor in Schritt 6 generiert haben, und wählen Sie Reboot aus.

    Bildschirm

    1. Melden Sie sich nach dem Neustart beim Host an und führen Sie diesen Befehl aus, um zu überprüfen, ob der SDC betriebsbereit ist:
    systemctl status scini.service
    Die Ausgabe sollte wie folgt aussehen:

    Ausgabe des Befehls systemctl status scini.service

    Betroffene Produkte

    PowerFlex appliance HW, PowerFlex rack HW
    Artikeleigenschaften
    Artikelnummer: 000414194
    Artikeltyp: How To
    Zuletzt geändert: 30 Apr. 2026
    Version:  7
    Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
    Support Services
    Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.