安全引导需求

使用安全引导时，请记住以下信息。

• UEFI 引导支持的映像

  统一可扩展固件接口 (UEFI) 固件安全地管理包含软件制造商用于签署系统固件，系统引导装入程序及其装入的任何二进制文件的密钥的证书。

• GPT 分区磁盘

  安全启动功能要求使用 GUID 分区表 (GPT)，以取代旧的分区模式主引导记录 (MBR)。 在 UEFI 模式下启动映像需要使用 GPT 分区模式。 否则，映像将以 BIOS (基本输入输出系统) 方式引导。

所有主要操作系统分发版都提供了签名引导装入器，签名内核和签名内核模块，在满足这两个需求时，安全引导需要这些模块才能成功。

使用自定义内核或自定义内核模块时，必须使用自己的证书对其进行签名，并让固件或机器所有者密钥 (MOK) 知晓该证书。 您可以使用 mokutil 实用程序来帮助管理 Linux 密钥，但必须在引导时直接从控制台确认对 MOK 密钥的更改。 因此，只有在控制台中存在的用户才能确认用户生成的密钥，这些密钥用于对定制内核和定制内核模块进行签名。

虚拟服务器停止并重新启动后，MOK 会消失。 每次停止和启动虚拟服务器后，都必须重新安装 MOK。

限制

使用安全启动时，请注意以下限制。

• 除以下配置文件外，安全启动仅适用于基于蓝宝石急流的第三代虚拟服务器。
  • mx3d-128x1280
  • mx3d-176x1760
  • bx3d-176x880

如果将已启用安全启动的虚拟服务器调整为已禁用安全启动的配置文件（反之亦然），PCIe 设备的拓扑结构就会发生变化。 根据操作系统的不同，拓扑结构的改变可能会重新命名设备并重新调整 PCI 地址。 I/O 性能也会发生变化。

在以下情况下，安全引导不会提供保护。

• 基于操作系统的攻击
• 物理硬件攻击
• 恶意系统管理员

如果启动路径中的任何软件组件未签名或未加载签名证书，启用安全启动的虚拟服务器将无法启动。 即使部署成功，如果未签名，实例也无法引导。 这意味着您无法登录或接收来自虚拟服务器的 ping。 请记住，您不会收到有关引导故障的通知。 您需要使用控制台日志来验证引导是否成功，并帮助确定任何引导失败的原因。