针对裸机服务器使用可信平台模块 (TPM) 进行安全引导
安全引导通过验证引导过程中所有代码的签名,确保服务器使用可信软件启动。 因此,您的映像需要使用已签名的引导装入程序来支持安全引导。 可信平台模块 (TPM) 提供基于硬件的安全功能。 通过支持软件,TPM 可帮助维护平台完整性并生成密钥。 通常,TPM 用于安全引导。
不支持在 2023 年 1 月 31 日 之前供应的服务器。
用于安全引导的受支持映像
当您供应具有安全引导的服务器时,以下映像可用。 请记住,这些功能仅在 x86-64 体系结构上可用。
| 图像 | 体系结构 |
|---|---|
| Red Hat Enterprise Linux 8 | x86-64 |
| Red Hat Enterprise Linux 8.4 for SAP | x86-64 |
| Red Hat Enterprise Linux 8.4 for SAP HANA | x86-64 |
| SUSELinuxEnterprise 服务器 (SLES) 15SP3 | x86-64 |
| SUSELinuxEnterprise 服务器 (SLES) 15SP4 | x86-64 |
| Ubuntu 18.04, 20.04, 22.04 | x86-64 |
| VMWare ESXi 7 | x86-64 |
| Windows 2016,2019 和 2022 | x86-64 |
限制
在启用安全引导和 TPM 之前,请考虑以下限制。
- 不支持在发布此功能之前供应的服务器。
- 安全引导需要已签名的操作系统。 如果在没有已签名操作系统的情况下启用安全引导,那么服务器无法引导。
- 安全引导和 TPM 仅在 x86 服务器上可用。
- ESXi 映像需要安全引导才能使用 TPM。
使用 TPM 启用安全引导
创建或更新服务器时,可以指定是否要启用安全引导。 您可以在供应页面上的 高级选项 中找到安全引导和 TPM 选项。
要在现有受支持的服务器上使用安全引导或 TPM,可以从服务器详细信息页面启用这些引导或 TPM。
要启用安全引导或 TPM,需要关闭服务器电源。
存储在 BIOS 固件中的密钥
以下密钥存储在可用于签署定制映像的 BIOS 固件中。 有关定制映像的更多信息,请参阅 定制映像入门。
- Microsoft Corporation UEFI CA 2011
- Microsoft Windows 生产 PCA 2011
- SUPERMICRO 产品 CA 2018