ベアメタル・サーバー用の Trusted Platform Module (TPM) を使用したセキュア・ブート
セキュア・ブートでは、ブート・プロセスのすべてのコードのシグニチャーを検査することにより、サーバーが信頼できるソフトウェアで始動するようにします。 そのため、イメージは、署名付きブート・ローダーを使用してセキュア・ブートをサポートする必要があります。 Trusted Platform Module (TPM) は、ハードウェア・ベースのセキュリティー機能を提供します。 TPM はサポート・ソフトウェアを使用して、プラットフォームの保全性を維持し、暗号鍵を生成します。 通常、TPM はセキュア・ブートで使用されます。
2023 年 1 月 31 日 より前にプロビジョンしたサーバーはサポートされません。
セキュア・ブート用にサポートされるイメージ
セキュア・ブートを使用してサーバーをプロビジョンすると、以下のイメージが使用可能になります。 これらの機能は、 x86-64 アーキテクチャーでのみ使用できることに注意してください。
画像 | アーキテクチャー |
---|---|
Red Hat Enterprise Linux 8 | x86-64 |
SAP向けRed Hat Enterprise Linux 8.4 | x86-64 |
SAP HANA向けRed Hat Enterprise Linux 8.4 | x86-64 |
SUSELinuxEnterprise server (SLES) 15SP3 | x86-64 |
SUSELinuxEnterprise server (SLES) 15SP4 | x86-64 |
Ubuntu 18.04, 20.04, 22.04 | x86-64 |
VMware ESXi 7 | x86-64 |
Windows 2016、2019、2022 | x86-64 |
制限
セキュア・ブートおよび TPM を使用可能にする前に、以下の制限を考慮してください。
- この機能がリリースされる前にプロビジョンしたサーバーはサポートされません。
- セキュア・ブートには、署名付き OS が必要です。 署名付き OS なしでセキュア・ブートを有効にすると、サーバーはブートできません。
- セキュア・ブートおよび TPM は、 x86 サーバーでのみ使用可能です。
- ESXi イメージで TPM を使用するには、セキュア・ブートが必要です。
TPM でセキュア・ブートを有効にする
サーバーを作成または更新するときに、セキュア・ブートを有効にするかどうかを指定できます。 セキュア・ブートおよび TPM の選択は、プロビジョニング・ページの 「拡張オプション」 で確認できます。
サポートされている既存のサーバーでセキュア・ブートまたは TPM を使用するには、サーバーの詳細ページから使用可能にすることができます。
セキュア・ブートまたは TPM を使用可能にするには、サーバーの電源をオフにする必要があります。
BIOS ファームウェアに保管されているキー
以下のキーは、カスタム・イメージの署名に使用できる BIOS ファームウェアに保管されます。 カスタムイメージの詳細については、カスタムイメージを使い始める を参照してください。
- マイクロソフト社 UEFI CA 2011
- Microsoft Windows 実動 PCA 2011
- SUPERMICRO 製品 CA 2018