安全引导

安全引导是在 BIOS 中实施的一项服务器安全功能，不需要使用专门的硬件。安全引导会确保在引导过程中启动的每个组件均经过数字签名，并且对照 UEFI BIOS 中嵌入的一组受信任证书对签名进行了验证。安全引导在引导过程中验证以下组件的软件身份：

• 从 PCIe 卡中加载的 UEFI 驱动程序

• 从大容量存储装置中加载的 UEFI 驱动程序

• 引导前 UEFI Shell 应用程序

• OS UEFI 引导加载程序

在安全引导处于启用状态时：

• 固件组件和带引导加载程序的操作系统必须具有适当的数字签名，在引导过程中才能执行它们。

• 操作系统必须支持安全引导并具有用授权密钥签署的 EFI 引导加载程序才能进行引导。有关支持的操作系统的更多信息，请访问 https://www.hpe.com/servers/ossupport。

可从直接连接到服务器的管理控制台或使用 iLO 远程控制台远程连接到服务器，通过添加或删除您自己的证书而自定义内置在 UEFI BIOS 中的证书。

您可以使用以下方法配置安全引导：

• 使用以下几节中所述的 System Utilities 选项。

• 使用 iLO RESTful API 清除和还原证书。有关详细信息，请访问 Hewlett Packard Enterprise 网站 (https://www.hpe.com/info/redfish)。

• 使用嵌入式 UEFI Shell 中的 secboot 命令显示安全引导数据库、密钥和安全报告。