Avvio sicuro con TPM (Trusted Platform Module) per server bare metal
L'avvio sicuro garantisce che il server inizi con un software attendibile verificando le firme per tutto il codice nel processo di avvio. Quindi, le tue immagini hanno bisogno di supportare l'avvio sicuro con un boot loader firmato. TPM (Trusted Platform Module) fornisce funzioni di sicurezza basate sull'hardware. Con il software di supporto, TPM aiuta a mantenere l'integrità della piattaforma e genera chiavi crittografiche. Generalmente, TPM viene utilizzato con l'avvio sicuro.
I server di cui hai eseguito il provisioning prima del 31 gennaio 2023 non sono supportati.
Immagini supportate per l'avvio sicuro
Le seguenti immagini sono disponibili quando si esegue il provisioning di un server con avvio sicuro. Tenere presente che queste funzioni sono disponibili solo sull'architettura di x86-64.
| Immagine | Architettura |
|---|---|
| Red Hat Enterprise Linux 8 | x86-64 |
| Red Hat Enterprise Linux 8.4 per SAP | x86-64 |
| Red Hat Enterprise Linux 8.4 per SAP HANA | x86-64 |
| SUSE Linux Enterprise server (SLES) 15 SP3 | x86-64 |
| SUSE Linux Enterprise server (SLES) 15 SP4 | x86-64 |
| Ubuntu 18.04, 20.04, 22.04 | x86-64 |
| VMWare ESXi 7 | x86-64 |
| Windows 2016, 2019, 2022 | x86-64 |
Limitazioni
Considerare le seguenti limitazioni prima di abilitare l'avvio sicuro e TPM.
- I server di cui è stato eseguito il provisioning prima del rilascio di questa funzione non sono supportati.
- L'avvio sicuro richiede un SO firmato. Se si abilita l'avvio sicuro senza un sistema operativo firmato, il server non può avviarsi.
- Secure boot e TPM sono disponibili solo su server x86.
- Le immagini ESXi richiedono un avvio sicuro per utilizzare TPM.
Abilita avvio sicuro con TPM
Quando si crea o si aggiorna un server, è possibile specificare se si desidera abilitare l'avvio sicuro. Puoi trovare le selezioni di avvio sicuro e TPM nelle Opzioni avanzate sulla pagina di provisioning.
Per utilizzare l'avvio sicuro o TPM su un server supportato esistente, è possibile abilitarli dalla pagina dei dettagli del server.
Per abilitare l'avvio sicuro o TPM, il server deve essere spento.
Chiavi memorizzate nel firmware del BIOS
Le seguenti chiavi sono memorizzate nel firmware del BIOS che è possibile utilizzare per firmare un'immagine personalizzata. Per ulteriori informazioni sulle immagini personalizzate, vedi Introduzione alle immagini personalizzate.
- Microsoft Corporation UEFI CA 2011
- Microsoft Windows Produzione PCA 2011
- CA prodotto SUPERMICRO 2018