PowerFlex：为 PowerFlex 计算节点启用安全启动强制实施

要在 Dell PowerFlex 计算节点上启用安全启动，您必须满足以下前提条件：

• 必须在系统 BIOS 设置>引导设置中将引导模式设置为统一可扩展固件接口 （UEFI）。

  提醒：如果主机未处于此模式，则在不重新安装操作系统的情况下您可能无法更改它。
• 服务器必须安装 可信平台模块 （TPM） 2.0。
• BIOS 应为特定 PowerEdge 型号所需的版本，以支持启用安全启动。相关信息可在戴尔支持网站上找到。
• 启用安全启动需要 RPQ，请联系您的 Dell Technologies 客户代表，以通过产品认证请求 （RPQ） 流程评估和启用 PowerFlex 节点的安全启动选项。
• 在使用 PowerFlex Manager执行部署之前，必须在 iDRAC 中禁用安全启动。如果启用，部署将失败。只应在部署后启用安全启动。

配置 Dell PowerEdge iDRAC 以实现安全启动：

1. 登录到 iDRAC Web 界面并转至 配置 > BIOS 设置 > 系统安全
2. 将 “TPM Security ”设置为 “On”
3. 展开 TPM Advanced Settings 并将 TPM2 Algorithm Selection设置为 SHA256
4. 将 “Secure Boot ”设置为 “Enabled”

5. 单击系统安全设置屏幕底部的应用。
6. 单击屏幕左下角 的应用并重新启动 按钮。

为 ESXi 启用安全启动：

部分支持：Trusted Boot with Attestation（具有认证的可信启动）。

• UEFI 安全启动：在启动时验证启动加载程序和内核模块
• TPM 测量：将启动哈希测量值存储在 TPM PCR 中（用于证明）
• TPM 支持的加密：虚拟机、vSAN 和核心转储
• vCenter 证明：检测主机启动时是否处于被篡改或不受信任的状态
• 虚拟机上的 vTPM 支持：可以为虚拟机提供用于来宾内安全功能的虚拟 TPM（还需要 vCenter KMS 服务器）

全面支持：执行控制锁定

• 包括部分支持的所有功能
• 签名 VIB 强制实施：确保 VIB 不被篡改
  • 只能安装 VMware 签名的 VIB
  • 签名的 VIB 只能在 ESXi 启动期间加载

在 ESXi 中启用部分支持：

对于 PowerFlex 机架和设备节点，必须在 PowerFlex Manager部署节点后启用安全启动。如果事先启用，则使用 PowerFlex Manager的部署将失败。 

启用部分支持，请执行以下步骤：

1. 运行验证脚本： /usr/lib/vmware/secureboot/bin/secureBoot.py -c

   • 如果通过，您会看到“可以启用安全启动”。
   • 如果失败，它会列出未签名的 VIB。您必须先移除这些组件，然后才能继续操作，否则主机会在下次启动时出现紫色屏幕。
2. 在 ESXi 主机上启用 SSH，并使用任何 SSH 客户端以 root 用户身份连接到 ESXi 主机。
3. 验证安全级别： 

esxcli system settings encryption get

3. • 输出应显示： 
     • 模式：无
     • 已安装的 VIB：False
     • 需要安全启动：False
4. 启用 TPM 模式： 

esxcli system settings encryption set --mode=TPM --require-secure-boot=true

5. 重新引导主机。
6. 主机重新联机后，验证安全级别： 

esxcli system settings encryption get

6. • 输出现在应显示：
     • 模式：TPM
     • 已安装的 VIB：False
     • 安全启动：真
7. 将配置同步到 Bootbank： 

/bin/backup.sh 0

在 ESXi 中启用完全支持：

1. 在 ESXi 主机上启用 SSH ，并使用任何 SSH 客户端以 root 用户身份连接到 ESXi 主机。
2. 验证安全级别：
   • 输出应显示： 
     • 模式：TPM
     • 已安装的 VIB：False
     • 需要安全启动：真
3. 如果输出与上述不匹配，请按照上述说明启用部分支持，然后再继续。
   1. 通过运行以下命令获取当前设置：

esxcli system settings encryption get

1. 2. 允许内核接受 VIB 强制实施：

esxcli system settings kernel set -s execInstalledOnly -v TRUE

1. 3. 关闭主机电源，然后再打开主机电源（请勿使用重新启动）。
   4. 通过运行以下命令启用 VIB 强制实施： 

esxcli system settings encryption set --require-exec-installed-only=T

1. 5. 重新启动节点以强制实施签名 VIB。
   6. 节点重新联机后，验证安全级别： esxcli system settings encryption get
   7. 将正在运行的配置同步到 Bootbank： 

/bin/backup.sh 0

备份密钥和配置：

1. 以 root 用户身份通过 SSH 连接到 ESXi 主机
2. 显示备份密钥并复制到节点之外的安全位置 

esxcli system settings encryption recovery list

3. • 复制恢复密钥（第二列）并粘贴到文本文件中以保存以供将来恢复。可以省略恢复 ID。
4. 生成主机级备份捆绑包：

vim-cmd hostsvc/firmware/backup_config

5. 复制提供的 Web URL 以下载备份包。将此捆绑包存放在与恢复密钥备份文本文件相同的位置。 

为 Linux 启用安全启动：

1. 以 root 用户身份通过 SSH 连接到 Linux 主机，并验证您的计算机上是否已启用安全启动： 

mokutil --sb-stat

1. • 输出应具有 SecureBoot enabled
2. 如果已安装 SDC，请继续执行步骤 4。
3. 如果未安装 SDC，请安装 SDC RPM。安装应该会成功，但 scini 驱动程序应无法加载。您应该会收到错误消息 "scini service failed because the control process exited with error code"。
   • 要检查有关错误的详细信息，请执行以下操作：
     • 在该服务器上运行 

systemctl status scini.service

• • • 在该服务器上运行

journalctl -xe

3. • 如果选中 dmesg，您应该看到：加载密钥不可用的模块被拒绝
4. 将目录更改为 /bin/emc/scaleio/scini_sync/certs/. 在此目录中，您可以找到 SDC 证书。
5. 运行 以下命令以确认它们有效且未过期

openssl x509 -in <.pem file from directory> -noout -enddate | cut -d= -f2

6. 如果证书有效，请使用 mokutil took 导入 .der 文件中定义。您需要生成密码

mokutil --import <.der file from directory> (Example: emc_scaleio2026.der)

7. 如果随 SDC 程序包提供的证书已过期，则可能会在 中为您提供证书 .pem 您必须转换为的格式 .der 使用以下命令进行格式化：

openssl x509 -in /usr/src/<file.pem> -outform DER -out /usr/src/<file.der>

 如果需要，请联系戴尔支持团队以获取新签名的 SDC 程序包和相关证书 

8. 重新启动 主机。
9. 在引导时，在 Linux 操作系统引导之前，您必须进入 Perform MOK management 菜单。进入 MOK 管理，然后选择注册 MOK。

10. 重新启动后登录主机并运行此命令，以验证 SDC 是否已启动并运行：

systemctl status scini.service