Tabla de contenido
Cuando está activado, el inicio seguro de UEFI impide que se carguen drivers de dispositivos UEFI no firmados, muestra un mensaje de
error y no permitir que los dispositivos funcionen. Deberá desactivar el inicio seguro para cargar drivers de dispositivos no firmados.
a
En la 14.
generación y versiones posteriores de los servidores Dell PowerEdge, puede activar o desactivar la función Secure Boot (Inicio
seguro) mediante interfaces diferentes (RACADM, WSMAN, REDFISH y LC-UI).
Formatos de archivo aceptables
La política de inicio seguro solo contiene una clave en PK, pero varias claves pueden residir en KEK. Lo ideal sería que el fabricante de la
plataforma o el propietario de la plataforma mantenga la clave privada correspondiente a la PK pública. Los otros fabricantes (como los
proveedores de sistemas operativos y los proveedores de dispositivos) mantienen las claves privadas correspondientes a las claves públicas
en KEK. De esta forma, los propietarios de la plataforma y los otros fabricantes pueden agregar o quitar entradas en DB o DBX de un
sistema específico.
La política de inicio seguro utiliza DB y DBX para autorizar la ejecución del archivo de imagen previa al inicio. Para que se ejecute un archivo
de imagen, debe estar asociado con una clave o un valor de algoritmo hash en DB y no debe estar asociado con una clave o un valor de
algoritmo hash en DBX. Todo intento para actualizar el contenido de DB o DBX debe estar firmado con una KEK o PK privada. Todo intento
para actualizar el contenido de PK o KEK debe estar firmado con una PK privada.
Componente de la política
PK
KEK
DB y DBX
Se puede acceder a la función Secure Boot Settings (Configuración de inicio seguro) al hacer clic en System Security (Seguridad del
sistema) en System BIOS Settings (Configuración del BIOS del sistema). Para ir a System BIOS Settings (Configuración del BIOS del
sistema), presione F2 cuando aparezca el logotipo de la empresa durante la POST.
•
De forma predeterminada, la opción Secure Boot (Inicio seguro) estará en el modo Disabled (Desactivado) y la política de inicio seguro
está configurada en Standard (Estándar). Si se debe activar el inicio seguro, se debe configurar como Enabled (Activado).
•
La política de inicio seguro configurada en Standard (Estándar) describe que el sistema tiene certificados predeterminados y resúmenes
de imagen o un algoritmo hash cargados de la fábrica. Esto suma para la seguridad de firmware, drivers, ROM de opciones y cargadores
de inicio estándares.
•
En el caso de que deba admitirse un nuevo driver o firmware en el servidor, se debe inscribir el correspondiente certificado en la DB del
almacén de certificados de inicio seguro. Por lo tanto, la política de inicio seguro se debe configurar en Custom (Personalizada).
Cuando la política de inicio seguro está configurada en Custom (Personalizada), hereda los certificados estándares y los resúmenes de
imagen cargados en el sistema de forma predeterminada, en los que usted puede realizar cualquier cambio según sea necesario. La política
de inicio seguro configurada en Custom (Personalizada) le permite realizar operaciones como ver, exportar, importar, eliminar, eliminar todo,
restablecer y restablecer todo, mediante las cuales puede configurar las políticas de inicio seguro correspondientes a sus requisitos.
92
Configuración de Managed System
Formatos de archivo aceptables Extensiones de archivo
Certificado X.509 (solo con
formato DER binario)
Certificado X.509 (solo con
formato DER binario)
Almacenamiento de claves
públicas
Certificado X.509 (solo con
formato DER binario)
Imagen EFI (el BIOS del sistema
calculará e importará el resumen
de imagen).
aceptables
1
.cer
2
.der
3
.crt
1
.cer
2
.der
3
.crt
4
.pbk
1
.cer
2
.der
3
.crt
4
.efi
Registros máximos permitidos
Uno
Más de uno
Más de uno
Tabla de contenido
Solución de problemas
