ベアメタル・サーバー用の Trusted Platform Module (TPM) を使用したセキュア・ブート
セキュア・ブートでは、ブート・プロセスのすべてのコードのシグニチャーを検査することにより、サーバーが信頼できるソフトウェアで始動するようにします。 そのため、イメージは、署名付きブート・ローダーを使用してセキュア・ブートをサポートする必要があります。 Trusted Platform Module (TPM) は、ハードウェア・ベースのセキュリティー機能を提供します。 TPM はサポート・ソフトウェアを使用して、プラットフォームの保全性を維持し、暗号鍵を生成します。 通常、TPM はセキュア・ブートで使用されます。
2023 年 1 月 31 日 より前にプロビジョンしたサーバーはサポートされません。
以下のバージョンのTPMに対応しています。
- TPM 2.0
- インテル® トラステッド・エグゼキューション・テクノロジー(TXT)搭載 TPM 2.0
セキュア・ブート用にサポートされるイメージ
セキュア・ブートを使用してサーバーをプロビジョンすると、以下のイメージが使用可能になります。 これらの機能は、 x86-64 アーキテクチャーでのみ使用できることに注意してください。
| 画像 | アーキテクチャー |
|---|---|
| Red Hat Enterprise Linux 8 | x86-64 |
| Red Hat Enterprise Linux 8.4 にとって SAP | x86-64 |
| Red Hat Enterprise Linux 8.4 にとって SAP HANA | x86-64 |
| SUSE Linux Enterprise server (SLES) 15 SP3 | x86-64 |
| SUSE Linux Enterprise server (SLES) 15 SP4 | x86-64 |
| Ubuntu 18.04, 20.04, 22.04 | x86-64 |
| VMware ESXi 7 | x86-64 |
| Windows 2016、2019、2022 | x86-64 |
制限
セキュア・ブートおよび TPM を使用可能にする前に、以下の制限を考慮してください。
- この機能がリリースされる前にプロビジョンしたサーバーはサポートされません。
- セキュア・ブートには、署名付き OS が必要です。 署名付き OS なしでセキュア・ブートを有効にすると、サーバーはブートできません。
- セキュア・ブートおよび TPM は、 x86 サーバーでのみ使用可能です。
- ESXi イメージで TPM を使用するには、セキュア・ブートが必要です。
TPM でセキュア・ブートを有効にする
サーバーを作成または更新するときに、セキュア・ブートを有効にするかどうかを指定できます。 セキュア・ブートおよび TPM の選択は、プロビジョニング・ページの 「拡張オプション」 で確認できます。
サポートされている既存のサーバーでセキュア・ブートまたは TPM を使用するには、サーバーの詳細ページから使用可能にすることができます。
セキュア・ブートまたは TPM を使用可能にするには、サーバーの電源をオフにする必要があります。
BIOS ファームウェアに保管されているキー
以下のキーは、カスタム・イメージの署名に使用できる BIOS ファームウェアに保管されます。 カスタムイメージの詳細については、 カスタムイメージを使い始めるを 参照してください。
- マイクロソフト社 UEFI CA 2011
- Microsoft Windows 実動 PCA 2011
- SUPERMICRO 製品 CA 2018