PowerFlex: Ota suojattu käynnistys käyttöön PowerFlex-laskentasolmuissa

Yhteenveto: Tässä artikkelissa on vaiheittaiset ohjeet UEFI (Unified Extensible Firmware Interface) -liittymän suojatun käynnistyksen käyttöönoton käyttöönottoon Dell PowerFlexin laskentasolmuissa, joissa on ESXi tai Linux. ...

Tämä artikkeli koskee tuotetta Tämä artikkeli ei koske tuotetta Tämä artikkeli ei liity tiettyyn tuotteeseen. Tässä artikkelissa ei yksilöidä kaikkia tuoteversioita.
Tutustu muihin resursseihin

Ohjeet

Huomio: Suojattua käynnistystä tuetaan ainoastaan ESXi- tai Linux-käyttöisissä PowerFlex-laskentasolmuissa. PowerFlex-tallennussolmut tai PowerFlex-hallintasolmut eivät tue sitä.

 

Jotta voit ottaa käyttöön suojatun käynnistyksen Dell PowerFlex -laskentasolmuissa, sinun on täytettävä seuraavat edellytykset:

  • Käynnistystilaksi on asetettava UEFI (Unified Extensible Firmware Interface) järjestelmän BIOS-asetusten >käynnistysasetuksissa.

    Huomautus: Jos isäntä ei ole tässä tilassa, et ehkä voi muuttaa sitä asentamatta käyttöjärjestelmää uudelleen.
  • Palvelimessa on oltava asennettuna Trusted Platform Module (TPM) 2.0.
  • BIOSin on oltava PowerEdge-mallin edellyttämä, jotta se tukee suojattua käynnistystä. Lisätietoja on Dellin tukisivustossa.
  • Secure Bootin käyttöönotto edellyttää RPQ:ta. Ota yhteyttä Dell Technologies -asiakasedustajaasi arvioidaksesi ja ottaakseen käyttöön PowerFlex-solmujen suojatun käynnistysvaihtoehdon tuotteen hyväksymispyyntöprosessin (RPQ) kautta.
  • Secure Boot on poistettava käytöstä iDRACissa ennen PowerFlex Manager -käyttöönottoa. Jos se on käytössä, käyttöönotto epäonnistuu. Secure Boot voidaan ottaa käyttöön vasta käyttöönoton jälkeen.
Huomautus: Aina kun muutat iDRACin suojatun käynnistyksen asetuksia, palvelin on käynnistettävä uudelleen, jotta muutokset astuvat voimaan.

 

Dell PowerEdge iDRACin määrittäminen suojattua käynnistystä varten:

  1. Kirjaudu iDRAC-verkkokäyttöliittymään ja siirry kokoonpanon > BIOS-asetuksiin > Järjestelmän suojaus
  2. Aseta TPM Security -asetukseksi Käytössä
  3. Laajenna TPM-lisäasetukset ja määritä TPM2-algoritmin valinnaksi SHA256
  4. Aseta suojattu käynnistys -asetukseksi käytössä

iDRAC:n suojatun käynnistyksen asetukset

 

  1. Valitse Järjestelmän suojausasetukset -näytön alareunassa Käytä.
  2. Napsauta Käytä ja käynnistä uudelleen -painiketta näytön vasemmassa alakulmassa.

Ota suojattu käynnistys käyttöön ESXi:ssä:

Osittainen tuki: Trusted Boot ja Attestation.

  • UEFI Secure Boot: Tarkistaa käynnistysohjelman ja ytimen moduulit käynnistyksen yhteydessä
  • TPM-mittaukset: Tallentaa käynnistyksen hajautusmittaukset TPM PCR:inä (käytetään vahvistukseen)
  • TPM-tuettu salaus: VM, vSAN ja Core Dump
  • vCenter-todistus: Havaitsee, käynnistyikö isäntä peukaloidussa tai epäluotettavassa tilassa
  • vTPM-tuki virtuaalikoneissa: Virtuaalikoneille voidaan määrittää virtuaalinen TPM vieraiden suojaustoimintoja varten (vaatii myös vCenter KMS -palvelimen)

Täysi tuki: Suorituksen hallinnan lukitus

  • Sisältää kaikki osittaisen tuen ominaisuudet
  • Allekirjoitettu VIB-täytäntöönpano: Varmistaa, ettei VIB-levyjä ole peukaloitu
    • Vain VMwaren allekirjoittamia VIB-paketteja voi asentaa
    • Allekirjoitetut VIB-paketit voi ladata vain ESXi-käynnistyksen yhteydessä

Ota osittainen tuki käyttöön ESXi:ssä:

PowerFlexin kehikko- ja laitesolmuissa suojattu käynnistys on otettava käyttöön, kun PowerFlex Manager on ottanut solmut käyttöön. Jos se on otettu käyttöön etukäteen, PowerFlex Manageria käyttävät käyttöönotot epäonnistuvat. 

Huomautus: Jos TPM 2.0, suojattu käynnistys ja SHA256 ovat käytössä ennen ESXi:n asentamista (manuaalisesti, ei PowerFlex Managerissa), nämä määritetään automaattisesti ensimmäisellä uudelleenkäynnistyksellä.

Ota osittainen tuki käyttöön seuraavasti:

  1. Suorita vahvistuskomentosarja: /usr/lib/vmware/secureboot/bin/secureBoot.py -c

    • Jos se läpäisee, näet "Suojattu käynnistys VOIDAAN ottaa käyttöön".
    • Jos se epäonnistuu, allekirjoittamattomat VIB-paketit luetellaan. Nämä on poistettava ennen jatkamista, tai isännän näyttö muuttuu violetiksi seuraavassa käynnistyksessä.
  2. Ota SSH käyttöön ESXi-isännässä ja muodosta millä tahansa SSH-asiakkaalla yhteys ESXi-isäntään pääkäyttäjänä.
  3. Tarkista suojaustaso: 
esxcli system settings encryption get
    • Tulosteen pitäisi näkyä: 
      • Tila: None
      • Asennetut VIB:t: Epätosi
      • Vaadi suojattu käynnistys: Epätosi
  2. Ota TPM-tila käyttöön: 
esxcli system settings encryption set --mode=TPM --require-secure-boot=true
  1. Käynnistä isäntä uudelleen.
  2. Kun isäntä on palannut online-tilaan, tarkista suojaustaso: 
esxcli system settings encryption get
    • Tulosteen pitäisi nyt näkyä:
      • Tila: TPM
      • Asennetut VIB:t: Epätosi
      • Suojattu käynnistys: Totta
  2. Synkronoi määritykset käynnistyspankkiin: 
/bin/backup.sh 0

 

 

Ota täysi tuki käyttöön ESXi:ssä:

  1. Ota SSH käyttöön ESXi-isännässä ja muodosta millä tahansa SSH-asiakkaalla yhteys ESXi-isäntään pääkäyttäjänä .
  2. Tarkista suojaustaso:
    • Tulosteen pitäisi näkyä: 
      • Tila: TPM
      • Asennetut VIB:t: Epätosi
      • Vaadi suojattu käynnistys: Totta
  3. Jos tulos ei vastaa edellä mainittua, ota osittainen tuki käyttöön yllä olevien ohjeiden mukaisesti ennen jatkamista.
    1. Saat nykyiset asetukset suorittamalla komennon:
esxcli system settings encryption get
    1. Salli ytimen hyväksyä VIB-pakotus:
esxcli system settings kernel set -s execInstalledOnly -v TRUE
    1. Sammuta isäntä ja käynnistä isäntä (älä käytä uudelleenkäynnistystä).
    2. Ota VIB-pakotus käyttöön suorittamalla komento: 
esxcli system settings encryption set --require-exec-installed-only=T
    1. Ota allekirjoitetut VIB-asennukset käyttöön käynnistämällä solmu uudelleen.
    2. Kun solmu on taas toiminnassa, tarkista suojaustaso: esxcli system settings encryption get
    3. Synkronoi käytettävät määritykset käynnistyspankkiin: 
/bin/backup.sh 0

Vara-avaimet ja määritykset:

Huomautus: Sinun on aina varmuuskopioitava palautuksen käynnistysavain ja järjestelmän kokoonpano. Älä ohita tätä vaihetta.
  1. Muodosta SSH-yhteys ESXi-isäntään pääkäyttäjänä
  2. Näytä varmuuskopioavain ja kopioi se turvalliseen sijaintiin solmun ulkopuolella 
esxcli system settings encryption recovery list
    • Kopioi palautusavain (toinen sarake) ja liitä se tekstitiedostoon myöhempää palautusta varten. Palautustunnus voidaan jättää pois.
  2. Luo palvelintason varmuuskopiopaketti:
vim-cmd hostsvc/firmware/backup_config
  1. Kopioi varmuuskopiopaketin lataamiseen annettu URL-osoite. Tallenna tämä paketti samaan sijaintiin kuin palautusavaimen varmuuskopiotekstitiedosto. 
Huomautus: Varmuuskopiointi voi kestää jopa 30 sekuntia, eikä se ole enää käytettävissä 5 minuutin kuluttua. 

 

Ota suojattu käynnistys käyttöön Linuxille:

  1. Muodosta SSH-yhteys Linux-isäntään pääkäyttäjänä ja varmista, että suojattu käynnistys on käytössä tietokoneessasi: 

mokutil --sb-stat
    • Tuotoksessa pitäisi olla SecureBoot enabled
  2. Jos SDC on jo asennettu, jatka vaiheeseen 4.
  3. Jos SDC:tä ei ole asennettu, asenna SDC RPM. Asennuksen pitäisi onnistua, mutta scini Ohjaimen lataaminen ei onnistu. Sinun pitäisi saada virheilmoitus "scini service failed because the control process exited with error code".
    • Voit tarkistaa virheen tiedot seuraavasti:
      • Suorita 
systemctl status scini.service
      • Suorita
journalctl -xe
    • Jos valitset dmesg, sinun pitäisi nähdä: Moduulin lataaminen avain, joka ei ole käytettävissä, hylätään
  2. Vaihda hakemistoksi /bin/emc/scaleio/scini_sync/certs/. Tästä hakemistosta löydät SDC-varmenteet.
  3. Tarkista seuraavalla komennolla, että ne ovat kelvollisia ja vanhentuneita
openssl x509 -in <.pem file from directory> -noout -enddate | cut -d= -f2
Tuotos on viimeinen voimassaolopäivä.

 

  1. Jos varmenne on voimassa, käytä mokutil took Voit tuoda .der Tiedosto. Sinun on luotava salasana
mokutil --import <.der file from directory> (Example: emc_scaleio2026.der)
Salasanan syöttämiseen on kaksi kehotetta.
 
  1. Jos SDC-paketin mukana toimitettu varmenne on vanhentunut, sinulle voidaan toimittaa varmenne .pem muoto, johon sinun on muunnettava .der Muotoile seuraavalla komennolla:
openssl x509 -in /usr/src/<file.pem> -outform DER -out /usr/src/<file.der>

     Ota tarvittaessa yhteyttä Dellin tukitiimiin uuden allekirjoitetun SDC-paketin ja siihen liittyvien varmenteiden hankkimiseksi 

    1. Käynnistä isäntä uudelleen .
    2. Käynnistyksen yhteydessä, ennen kuin Linux-käyttöjärjestelmä käynnistyy, sinun on siirryttävä Perform MOK management -valikkoon. Anna MOK-hallinta ja valitse Rekisteröi MOK.

    Linux MOK -hallintavalikko

    1.  
    Valitse seuraavassa näytössä Näytä avain 0.

    Rekisteröidy MOK Näytä avainvalikko

    1.  
    Seuraavassa näytössä näet tärkeimmät tiedot. Siirry Enroll-avainsivulle painamalla mitä tahansa näppäintä.

    MOK Näytä avain

    1.  
    Kirjoita seuraavassa näytössä vaiheessa 6 aiemmin luomasi salasana ja valitse Käynnistä uudelleen.

    Anna salasananäyttö

    1. Kirjaudu isäntään uudelleenkäynnistyksen jälkeen ja tarkista seuraavalla komennolla, että SDC on toiminnassa:
    systemctl status scini.service
    Tuotoksen pitäisi näyttää tältä:

    systemctl-tila scini.service-komennon tulos

    Tuotteet, joihin vaikutus kohdistuu

    PowerFlex appliance HW, PowerFlex rack HW
    Artikkelin ominaisuudet
    Artikkelin numero: 000414194
    Artikkelin tyyppi: How To
    Viimeksi muutettu: 30 huhtik. 2026
    Versio:  7
    Etsi vastauksia kysymyksiisi muilta Dell-käyttäjiltä
    Tukipalvelut
    Tarkista, kuuluuko laitteesi tukipalveluiden piiriin.