セキュアブート
セキュアブートはサーバーのセキュリティ機能で、完全にBIOSに組み込まれており、特殊なハードウェアは不要です。セキュアブートにより、ブートプロセス中に起動した各コンポーネントにデジタル署名が付けられ、この署名がUEFI BIOSに内蔵された信頼済み証明書のセットと照合されて検証されます。セキュアブートは、ブートプロセス中に次のコンポーネントのソフトウェアIDを検証します。
-
PCIeカードからロードされたUEFIドライバー
-
大容量ストレージデバイスからロードされたUEFIドライバー
-
プリブートUEFIシェルアプリケーション
-
OS UEFIブートローダー
セキュアブートが有効になっている場合には、以下が必要です。
-
ブートプロセス中、ブートローダーを持つオペレーティングシステムとファームウェアコンポーネントは、実行するために適切なデジタル署名を持っている必要があります。
-
オペレーティングシステムは、ブートするためには、セキュアブートをサポートし、認証済みキーの1つで署名されたEFIブートローダーを持っている必要があります。サポートされているオペレーティングシステムについて詳しくは、Hewlett Packard EnterpriseのWebサイト(http://www.hpe.com/info/ProLiantUEFI/docs)にあるUEFIシステムユーティリティおよびシェルリリースノートを参照してください。
独自の証明書を追加または削除することにより、UEFI BIOSに組み込まれている証明書をカスタマイズできます。カスタマイズは、サーバーに直接取り付けられた管理コンソールから行うことも、またはiLOリモートコンソールを使用してサーバーにリモート接続して行うこともできます。
セキュアブートは、次のように構成できます。
-
以下の各項で説明されているシステムユーティリティオプションを使用する。
-
内蔵UEFIシェルで
secboot
コマンドを使用し、セキュアブートデータベース、キー、およびセキュリティレポートを表示する。