Sicheres Booten mit Trusted Platform Module (TPM) für Bare-Metal-Server
Sicheres Booten stellt sicher, dass Ihr Server mit vertrauenswürdiger Software startet, indem die Signaturen für den gesamten Code im Bootprozess überprüft werden. Ihre Images müssen also sicheres Booten mit einem signierten Bootloader unterstützen. Trusted Platform Module (TPM) bietet hardwarebasierte Sicherheitsfunktionen. Mit unterstützender Software unterstützt TPM die Integrität der Plattform und generiert Verschlüsselungsschlüssel. Im Allgemeinen wird TPM mit sicherem Booten verwendet.
Server, die Sie vor dem 31. Januar 2023 bereitgestellt haben, werden nicht unterstützt.
Die folgenden Versionen des TPM werden unterstützt.
- TPM 2.0
- TPM 2.0 mit Intel® Trusted Execution Technology (TXT)
Unterstützte Images für sicheres Booten
Die folgenden Images sind verfügbar, wenn Sie einen Server mit sicherem Booten bereitstellen. Beachten Sie, dass diese Features nur in der x86-64-Architektur verfügbar sind.
| Image | Architektur |
|---|---|
| Red Hat Enterprise Linux 8 | x86-64 |
| Red Hat Enterprise Linux 8.4 für SAP | x86-64 |
| Red Hat Enterprise Linux 8.4 für SAP HANA | x86-64 |
| SUSE Linux Enterprise-Server (SLES) 15 SP3 | x86-64 |
| SUSE Linux Enterprise-Server (SLES) 15 SP4 | x86-64 |
| Ubuntu 18.04, 20.04, 22.04 | x86-64 |
| VMware ESXi 7 | x86-64 |
| Windows 2016, 2019, 2022 | x86-64 |
Einschränkungen
Beachten Sie die folgenden Einschränkungen, bevor Sie sicheres Booten und TPM aktivieren.
- Server, die Sie vor der Freigabe dieses Features bereitgestellt haben, werden nicht unterstützt.
- Sicheres Booten erfordert ein signiertes Betriebssystem. Wenn Sie sicheres Booten ohne signiertes Betriebssystem aktivieren, kann der Server nicht booten.
- Sicheres Booten und TPM sind nur auf x86-Servern verfügbar.
- ESXi-Images erfordern sicheres Booten, um TPM zu verwenden.
Sicheres Booten mit TPM aktivieren
Wenn Sie einen Server erstellen oder aktualisieren, können Sie angeben, ob Sie sicheres Booten aktivieren wollen. Sie finden die Optionen für sicheres Booten und TPM unter Erweiterte Optionen auf der Bereitstellungsseite.
Um sicheres Booten oder TPM auf einem vorhandenen unterstützten Server zu verwenden, können Sie sie über die Serverdetailseite aktivieren.
Um sicheres Booten oder TPM zu aktivieren, muss der Server ausgeschaltet werden.
In BIOS-Firmware gespeicherte Schlüssel
Die folgenden Schlüssel sind in der BIOS-Firmware gespeichert, mit der Sie ein angepasstes Image signieren können. Weitere Informationen zu benutzerdefinierten Bildern finden Sie unter Erste Schritte mit benutzerdefinierten Bildern.
- Microsoft Gesellschaft UEFI CA 2011
- Microsoft Windows Produktion PCA 2011
- SUPERMICRO Produkt CA 2018