PowerFlex: Aktivera säker start för PowerFlex-beräkningsnoder

Sammanfattning: Den här artikeln innehåller stegvisa instruktioner för att aktivera UEFI (Unified Extensible Firmware Interface) säker start på Dell PowerFlex-beräkningsnoder som kör ESXi eller Linux.

Den här artikeln gäller för Den här artikeln gäller inte för Den här artikeln är inte kopplad till någon specifik produkt. Alla produktversioner identifieras inte i den här artikeln.
Kolla in andra resurser

Instruktioner

Viktigt! Säker start stöds endast på PowerFlex-beräkningsnoder som kör ESXi eller Linux. Det stöds inte på PowerFlex lagringsnoder eller PowerFlex Management-noder.

 

Om du vill aktivera säker start på Dell PowerFlex Compute-noder måste du uppfylla följande krav:

  • Startläget måste vara inställt på UEFI (Unified Extensible Firmware Interface) i startinställningarna för system-BIOS>.

    Obs! Om värden inte är i det här läget kanske du inte kan ändra den utan att installera om operativsystemet.
  • Servern måste ha Trusted Platform Module 2.0 (TPM) installerat.
  • BIOS bör vara på den version som krävs för den specifika PowerEdge-modellen för att stödja aktivering av säker start. Information finns på Dells supportwebbplats.
  • RPQ krävs för att aktivera säker uppstart. Kontakta din kontorepresentant på Dell Technologies för att utvärdera och aktivera alternativet för säker start för PowerFlex-noder genom en process för produktkvalificering (RPQ).
  • Säker start måste avaktiveras i iDRAC innan driftsättningar utförs med PowerFlex Manager. Om det är aktiverat misslyckas distributionen. Säker start bör endast aktiveras efter distribution.
Obs! Varje gång du ändrar inställningarna för säker start i iDRAC måste servern startas om för att åtgärden ska börja gälla.

 

Konfigurera Dell PowerEdge iDRAC för säker start:

  1. Logga in på iDRAC-webbgränssnittet och gå till Konfiguration > BIOS-inställningar > Systemsäkerhet
  2. Ställ in TPM Security
  3. Expandera Avancerade TPM-inställningar och ställ in TPM2-algoritmval på SHA256
  4. Ställ in säker uppstart Aktiverad

Inställningar för säker iDRAC-start

 

  1. Klicka på Verkställ längst ned på skärmen med systemsäkerhetsinställningar .
  2. Klicka på knappen Verkställ och starta om längst ned till vänster på skärmen.

Aktivera säker uppstart för ESXi:

Delvis stöd: Betrodd start med attestering.

  • UEFI Secure Boot: Verifierar starthanteraren och kernelmodulerna vid uppstart
  • TPM-mått: Lagrar starthash-mått i TPM-PCR:er (används för attestering)
  • TPM-stödd kryptering: VM-, vSAN- och kärndump
  • vCenter-attestering: Upptäcker om värden har startat i ett manipulerat eller ej betrott tillstånd
  • vTPM-stöd på virtuella datorer: Virtuella datorer kan ges en virtuell TPM för gästsäkerhetsfunktioner (kräver även vCenter KMS-server)

Fullt stöd: Låsning av körningskontroll

  • Inkluderar alla funktioner i partiellt stöd
  • Signerad VIB-verkställighet: Säkerställer att VIB:er inte manipuleras
    • Endast VMware-signerade VIB:er kan installeras
    • Signerade VIB:er kan endast läsas in under ESXi-start

Aktivera partiellt stöd i ESXi:

För PowerFlex rack- och enhetsnoder måste säker start aktiveras efter att PowerFlex Manager har driftsatt noderna. Om det är aktiverat i förväg misslyckas distributioner med PowerFlex Manager. 

Obs! Om TPM 2.0, säker start och SHA256 är aktiverade innan ESXi installeras (manuellt, inte med PowerFlex Manager) konfigureras detta automatiskt vid första omstarten.

Aktivera partiellt stöd, följ dessa steg:

  1. Kör valideringsskriptet: /usr/lib/vmware/secureboot/bin/secureBoot.py -c

    • Om det godkänns visas "Säker start KAN aktiveras".
    • Om det misslyckas visas osignerade VIB:er. Du måste ta bort dessa innan du fortsätter. Annars visas en lila skärm vid nästa start.
  2. Aktivera SSH på ESXi-värden och använd valfri SSH-klient för att ansluta till ESXi-värden med rotanvändaren.
  3. Kontrollera säkerhetsnivån: 
esxcli system settings encryption get
    • Utdata bör visa: 
      • Läge: Inget
      • Installerade VIB:er: Falskt
      • Kräv säker start: Falskt
  2. Aktivera TPM-läge: 
esxcli system settings encryption set --mode=TPM --require-secure-boot=true
  1. Starta om värden.
  2. Kontrollera säkerhetsnivån när värden är online igen: 
esxcli system settings encryption get
    • Utdata bör nu visa:
      • Läge: TPM
      • Installerade VIB:er: Falskt
      • Säker start: Sant
  2. Synkronisera konfigurationen till startbanken: 
/bin/backup.sh 0

 

 

Aktivera fullt stöd i ESXi:

  1. Aktivera SSH på ESXi-värden och använd valfri SSH-klient för att ansluta till ESXi-värden med rotanvändaren .
  2. Kontrollera säkerhetsnivån:
    • Utdata bör visa: 
      • Läge: TPM
      • Installerade VIB:er: Falskt
      • Kräv säker start: Sant
  3. Om utdata inte matchar ovanstående, aktivera partiellt stöd genom att följa instruktionerna ovan innan du fortsätter.
    1. Få de aktuella inställningarna genom att köra:
esxcli system settings encryption get
    1. Tillåt kerneln att acceptera VIB-tvingande:
esxcli system settings kernel set -s execInstalledOnly -v TRUE
    1. Stäng av värden och slå sedan på värden (använd inte omstart).
    2. Aktivera tvingande VIB genom att köra: 
esxcli system settings encryption set --require-exec-installed-only=T
    1. Starta om noden för att framtvinga signerade VIB:er.
    2. När noden är online igen kontrollerar du säkerhetsnivån: esxcli system settings encryption get
    3. Synkronisera den aktiva konfigurationen till startbanken: 
/bin/backup.sh 0

Säkerhetskopieringsnycklar och konfigurationer:

Obs! Du måste alltid säkerhetskopiera, återställa, starta tangenten och systemkonfigurationen. Hoppa inte över det här steget.
  1. SSH till ESXi-värden som rot
  2. Visa säkerhetskopieringsnyckeln och kopiera den till en säker plats utanför noden 
esxcli system settings encryption recovery list
    • Kopiera återställningsnyckeln (andra kolumnen) och klistra in den i en textfil för att spara den för framtida återställning. Återställnings-ID kan utelämnas.
  2. Generera ett säkerhetskopieringspaket på värdnivå:
vim-cmd hostsvc/firmware/backup_config
  1. Kopiera webbadressen för att ladda ned säkerhetspaketet. Lagra det här paketet på samma plats som säkerhetskopieringstextfilen för återställningsnyckeln. 
Obs! Säkerhetskopieringen kan ta upp till 30 sekunder att slutföra och den är inte längre tillgänglig efter 5 minuter. 

 

Aktivera säker start för Linux:

  1. SSH-anslut till Linux-värden som rot och bekräfta att säker start är aktiverat på datorn: 

mokutil --sb-stat
    • Utdata ska ha SecureBoot enabled
  2. Om SDC redan är installerat fortsätter du till steg 4.
  3. Om SDC inte är installerat, installera SDC RPM. Installationen bör lyckas, men scini Drivrutinen bör inte kunna laddas. Du bör få felmeddelandet "scini service failed because the control process exited with error code".
    • Så här söker du efter information om felet:
      • Kör 
systemctl status scini.service
      • Kör
journalctl -xe
    • Om du markerar dmesgbör du se: Inläsning av modul med otillgänglig nyckel nekades
  2. Ändra katalog till /bin/emc/scaleio/scini_sync/certs/. I den här katalogen hittar du SDC-certifikaten.
  3. Kör följande kommando för att bekräfta att de är giltiga och inte har upphört att gälla
openssl x509 -in <.pem file from directory> -noout -enddate | cut -d= -f2
Utdata är utgångsdatumet.

 

  1. Om certifikatet är giltigt använder du mokutil took för att importera .der Filen. Du måste skapa ett lösenord
mokutil --import <.der file from directory> (Example: emc_scaleio2026.der)
Det finns två uppmaningar om att ange lösenordet.
 
  1. Om certifikatet som medföljde SDC-paketet har upphört att gälla kan du få ett certifikat i .pem format som du måste konvertera till .der format med följande kommando:
openssl x509 -in /usr/src/<file.pem> -outform DER -out /usr/src/<file.der>

     Om det behövs, kontakta Dells supportteam för att få det nya signerade SDC-paketet och relaterade certifikat 

    1. Starta om värden.
    2. Vid uppstart, innan Linux-operativsystemet startar, måste du gå in i menyn Utför MOK-hantering . Gå in i MOK-hanteringen och välj Registrera MOK.

    Linux MOK-hanteringsmeny

    1.  
    På nästa skärm väljer du Visa nyckel 0.

    Registrera MOK Visa nyckelmeny

    1.  
    Nästa skärm visar den viktigaste informationen. Tryck på valfri tangent för att gå till sidan Registrera nyckel .

    MOK Visa nyckel

    1.  
    På nästa skärm anger du lösenordet som du genererade tidigare i steg 6 och väljer Starta om.

    Skärmen Ange lösenord

    1. Logga in på värden efter omstart och kör det här kommandot för att validera att SDC körs:
    systemctl status scini.service
    Utdata bör se ut så här:

    SystemCtrl-status scini.service-kommandoutdata

    Berörda produkter

    PowerFlex appliance HW, PowerFlex rack HW
    Artikelegenskaper
    Artikelnummer: 000414194
    Artikeltyp: How To
    Senast ändrad: 30 apr. 2026
    Version:  7
    Få svar på dina frågor från andra Dell-användare
    Supporttjänster
    Kontrollera om din enhet omfattas av supporttjänster.