セキュアブート

セキュアブートはサーバーのセキュリティ機能で、完全にBIOSに組み込まれており、特殊なハードウェアは不要です。セキュアブートにより、ブートプロセス中に起動した各コンポーネントにデジタル記号が付けられ、この署名がUEFI BIOSに内蔵された一連の信頼済みの証明書と照合されて検証されます。セキュアブートは、ブートプロセス中に次のコンポーネントのソフトウェアIDを検証します。

  • PCIeカードからロードされたUEFIドライバー

  • 大容量ストレージデバイスからロードされたUEFIドライバー

  • プリブートUEFIシェルアプリケーション

  • OS UEFIブートローダー

セキュアブートが有効になっている場合には、以下が必要です。

  • ブートプロセス中、ブートローダーを持つオペレーティングシステムとファームウェアコンポーネントは、実行するために適切なデジタル署名を持っている必要があります。

  • オペレーティングシステムは、起動するためには、セキュアブートをサポートし、認証済みキーの1つで署名されたEFIブートローダーを持っている必要があります。サポートされるオペレーティングシステムについて詳しくは、https://www.hpe.com/servers/ossupportを参照してください。

独自の証明書を追加または削除することにより、UEFI BIOSに組み込まれている証明書をカスタマイズできます。カスタマイズは、サーバーに直接取り付けられた管理コンソールから行うことも、またはiLOリモートコンソールを使用してサーバーにリモート接続して行うこともできます。

セキュアブートは、次のように構成できます。

  • 以下の各項で説明されているシステムユーティリティオプションを使用する。

  • iLO RESTful APIを使用して、証明書をクリアし、復元する。詳しくは、Hewlett Packard EnterpriseのWebサイト(https://www.hpe.com/info/redfish)を参照してください。

  • 内蔵UEFIシェルでsecbootコマンドを使用し、セキュアブートデータベース、キー、およびセキュリティレポートを表示する。