PowerFlex: Aktiver sikker oppstartshåndhevelse for PowerFlex-databehandlingsnoder

Sammendrag: Denne artikkelen inneholder trinnvise instruksjoner for å aktivere sikker oppstartshåndhevelse for Unified Extensible Firmware Interface (UEFI) på Dell PowerFlex-databehandlingsnoder som kjører ESXi eller Linux. ...

Denne artikkelen gjelder for Denne artikkelen gjelder ikke for Denne artikkelen er ikke knyttet til noe bestemt produkt. Det er ikke produktversjonene som identifiseres i denne artikkelen.
Ta en titt på andre ressurser

Instruksjoner

Forsiktig: Sikker oppstart støttes bare på PowerFlex-databehandlingsnoder som kjører ESXi eller Linux. Den støttes ikke på PowerFlex Storage-noder eller PowerFlex Management-noder.

 

Hvis du vil aktivere sikker oppstart på Dell PowerFlex-databehandlingsnoder, må du oppfylle følgende forutsetninger:

  • Oppstartsmodus må være angitt til Unified Extensible Firmware Interface (UEFI) i oppstartsinnstillingene for system-BIOS-innstillingene>.

    Merk: Hvis verten ikke er i denne modusen, kan du kanskje ikke endre den uten å installere operativsystemet på nytt.
  • Serveren må ha Trusted Platform Module (TPM) 2.0 installert.
  • BIOS bør være den nødvendige versjonen for den bestemte PowerEdge-modellen for å støtte aktivering av sikker oppstart. Du finner informasjon på Dells nettsted for kundestøtte.
  • RPQ kreves for å aktivere sikker oppstart. Ta kontakt med kontorepresentanten din hos Dell Technologies for å evaluere og aktivere alternativet for sikker oppstart for PowerFlex-noder gjennom en prosess som ber om produktkvalifisering (RPQ).
  • Sikker oppstart må være deaktivert i iDRAC før implementering utføres med PowerFlex Manager. Hvis den er aktivert, vil distribusjonen mislykkes. Sikker oppstart skal bare aktiveres etter implementering.
Merk: Hver gang du endrer innstillingene for sikker oppstart i iDRAC, kreves det en omstart av serveren for at den skal tre i kraft.

 

Konfigurere Dell PowerEdge iDRAC for sikker oppstart:

  1. Logg på iDRAC-nettgrensesnittet, og gå til Systemsikkerhet for konfigurasjons-BIOS-innstillinger >>
  2. Sett TPM-sikkerhet til
  3. Utvid Avanserte TPM-innstillinger , og angi valg av TPM2-algoritme til SHA256
  4. Sett sikker oppstart til Aktivert

Innstillinger for sikker oppstart av iDRAC

 

  1. Klikk på Bruk nederst på skjermbildet for systemsikkerhetsinnstillinger .
  2. Klikk på Bruk og start på nytt-knappen nederst til venstre på skjermen.

Aktiver sikker oppstart for ESXi:

Delvis støtte: Pålitelig oppstart med attestasjon.

  • UEFI Secure Boot: Bekrefter oppstartslaster og kjernemoduler ved oppstart
  • TPM-målinger: Lagrer oppstartshimpmålinger i TPM-PCR (brukes til attestering)
  • TPM-støttet kryptering: VM, vSAN og Core Dump
  • vCenter Attestation: Oppdager om verten har startet opp i en manipulert eller ikke klarert tilstand
  • vTPM-støtte på VM-er: VM-er kan gis en virtuell TPM for sikkerhetsfunksjoner i gjester (krever også vCenter KMS-server)

Full støtte: Låsing av utførelseskontroll

  • Inkluderer alle funksjoner for delvis støtte
  • Signert VIB-håndhevelse: Sikrer at VIB-er ikke tukles med
    • Bare VMware-signerte VIB-er kan installeres
    • Signerte VIB-er kan bare lastes inn under ESXi-oppstart

Aktiver delvis støtte i ESXi:

For PowerFlex Rack- og apparatnoder må sikker oppstart aktiveres etter at PowerFlex Manager distribuerer nodene. Hvis det er aktivert på forhånd, mislykkes implementeringer ved hjelp av PowerFlex Manager. 

Merk: Hvis TPM 2.0, sikker oppstart og SHA256 er aktivert før ESXi er installert (manuelt, ikke med PowerFlex Manager), konfigureres dette automatisk ved første omstart.

Aktiver delvis støtte, og følg disse trinnene:

  1. Kjør valideringsskriptet: /usr/lib/vmware/secureboot/bin/secureBoot.py -c

    • Hvis det består, ser du «Sikker oppstart KAN aktiveres».
    • Hvis det mislykkes, viser det usignerte VIB-er. Du må fjerne disse før du fortsetter, ellers opplever verten en lilla skjerm ved neste oppstart.
  2. Aktiver SSH på ESXi-verten, og bruk en hvilken som helst SSH-klient til å koble til ESXi-verten ved hjelp av rotbrukeren.
  3. Bekreft sikkerhetsnivået: 
esxcli system settings encryption get
    • Utdataene skal vise: 
      • Modus: None
      • Installerte VIB-er: Usann
      • Krev sikker oppstart: Usann
  2. Aktiver TPM-modus: 
esxcli system settings encryption set --mode=TPM --require-secure-boot=true
  1. Start verten på nytt.
  2. Når verten er tilkoblet igjen, bekrefter du sikkerhetsnivået: 
esxcli system settings encryption get
    • Utdataene skal nå vise:
      • Modus: TPM
      • Installerte VIB-er: Usann
      • Sikker oppstart: Sant
  2. Synkroniser konfigurasjonen til Bootbank: 
/bin/backup.sh 0

 

 

Aktiver full støtte i ESXi:

  1. Aktiver SSH på ESXi-verten, og bruk en hvilken som helst SSH-klient til å koble til ESXi-verten ved hjelp av rotbrukeren .
  2. Bekreft sikkerhetsnivået:
    • Utdataene skal vise: 
      • Modus: TPM
      • Installerte VIB-er: Usann
      • Krev sikker oppstart: Sant
  3. Hvis utdataene ikke samsvarer med ovenstående, aktiverer du delvis støtte ved å følge instruksjonene ovenfor før du fortsetter.
    1. Få gjeldende innstillinger ved å kjøre:
esxcli system settings encryption get
    1. Tillat kjernen å godta VIB-håndheving:
esxcli system settings kernel set -s execInstalledOnly -v TRUE
    1. Slå av verten og slå deretter på verten (ikke bruk omstart).
    2. Aktiver VIB-håndhevelse ved å kjøre: 
esxcli system settings encryption set --require-exec-installed-only=T
    1. Start noden på nytt for å håndheve signerte VIB-er.
    2. Når noden er tilkoblet igjen, kontrollerer du sikkerhetsnivået: esxcli system settings encryption get
    3. Synkroniser den kjørende konfigurasjonen til Bootbank: 
/bin/backup.sh 0

Sikkerhetskopinøkler og konfigurasjoner:

Merk: Du må alltid sikkerhetskopiere gjenoppretting, oppstartsnøkkel og systemkonfigurasjon. Ikke hopp over dette trinnet.
  1. SSH til ESXi-verten som root
  2. Vis sikkerhetskopinøkkelen, og kopier til en sikker plassering utenfor noden 
esxcli system settings encryption recovery list
    • Kopier gjenopprettingsnøkkelen (andre kolonne) og lim den inn i en tekstfil for å lagre for fremtidig gjenoppretting. Gjenopprettings-ID kan utelates.
  2. Generer en pakke med sikkerhetskopiering på vertsnivå:
vim-cmd hostsvc/firmware/backup_config
  1. Kopier nettadressen du oppga, for å laste ned sikkerhetskopipakken. Lagre denne pakken på samme sted som tekstfilen for sikkerhetskopien av gjenopprettingsnøkkelen. 
Merk: Sikkerhetskopieringen kan ta opptil 30 sekunder å fullføre, og den er ikke lenger tilgjengelig etter 5 minutter. 

 

Aktiver sikker oppstart for Linux:

  1. SSH til Linux-verten din som root og validere sikker oppstart er aktivert på maskinen din: 

mokutil --sb-stat
    • Utdataene skal ha SecureBoot enabled
  2. Hvis SDC allerede er installert, fortsetter du til trinn 4.
  3. Hvis SDC ikke er installert, installerer du SDC RPM. Installasjonen skal være vellykket, men scini Driveren skal ikke lastes inn. Du skal få feilmeldingen "scini service failed because the control process exited with error code".
    • Slik ser du etter detaljer om feilen:
      • Kjør 
systemctl status scini.service
      • Kjør
journalctl -xe
    • Hvis du sjekker dmesg, bør du se: Lasting av modul med utilgjengelig nøkkel avvises
  2. Endre katalog til /bin/emc/scaleio/scini_sync/certs/. I denne katalogen finner du SDC-sertifikatene.
  3. Kjør følgende kommando for å bekrefte at de er gyldige og ikke utløpt
openssl x509 -in <.pem file from directory> -noout -enddate | cut -d= -f2
Utdata er utløpsdatoen.

 

  1. Hvis sertifikatet er gyldig, bruker du mokutil took Slik importerer du .der Filen. Du må generere en passwor
mokutil --import <.der file from directory> (Example: emc_scaleio2026.der)
Det er to spørsmål om å skrive inn passordet.
 
  1. Hvis sertifikatet som fulgte med SDC-pakken, er utløpt, kan du få tilsendt et sertifikat i .pem format som du må konvertere til .der Formater ved hjelp av følgende kommando:
openssl x509 -in /usr/src/<file.pem> -outform DER -out /usr/src/<file.der>

     Kontakt om nødvendig Dells kundestøtteteam for å få den nye signerte SDC-pakken og relaterte sertifikater 

    1. Start verten på nytt.
    2. Ved oppstart, før Linux OS starter, må du gå inn i Utfør MOK-administrasjonsmenyen . Angi MOK-administrasjon, og velg Registrer MOK.

    Linux MOK-administrasjonsmeny

    1.  
    På neste skjermbilde velger du Vis tast 0.

    Registrer MOK-visningstastmenyen

    1.  
    Det neste skjermbildet viser nøkkelinformasjonen. Trykk på en tast for å gå til siden Registreringsnøkkel .

    MOK-visningsnøkkel

    1.  
    På det neste skjermbildet skriver du inn passordet du genererte tidligere i trinn 6 , og velger Start på nytt.

    Skriv inn passordskjermen

    1. Logg på verten etter omstart, og kjør denne kommandoen for å bekrefte at SDC er oppe og går:
    systemctl status scini.service
    Utgangen skal se slik ut:

    SystemCTL status scini.service command output

    Berørte produkter

    PowerFlex appliance HW, PowerFlex rack HW
    Artikkelegenskaper
    Artikkelnummer: 000414194
    Artikkeltype: How To
    Sist endret: 30 apr. 2026
    Versjon:  7
    Få svar på spørsmålene dine fra andre Dell-brukere
    Støttetjenester
    Sjekk om enheten din er dekket av støttetjenestene.