Ansichten:

Bereiten Sie Ihre Endpunkte vor, damit Server & Workload Protection Secure Boot unterstützen kann.

Wichtig
Wichtig
  • Sie müssen einen Plattformschlüssel haben, um Secure Boot-Schlüssel zu registrieren. Wenn Sie keinen Plattformschlüssel haben, konsultieren Sie die Dokumentation Ihrer Linux-Distribution, um einen Secure Boot-Plattformschlüssel zu generieren.
  • Ersetzen Sie den Plattform-Schlüssel nicht, wenn Sie nicht auf die Firmware aller Geräte zugreifen können, die während des Bootvorgangs geladen werden, wie z. B. die GPU. Wenn Sie die Firmware-Signaturkette nicht aktualisieren können, um Ihren neuen Plattform-Schlüssel zu verwenden, könnte Secure Boot dazu führen, dass die Instanz dauerhaft nicht mehr booten kann.
  • Wenn der {Computer} vor UEK R6U3 Oracle Linux verwendet, verwenden Sie dieses Verfahren nicht. Sehen Sie stattdessen .
  • Wenn Sie planen, viele Endpunkte für die Verwendung von Secure Boot zu konfigurieren, empfiehlt Trend Micro, nach Abschluss dieses Verfahrens ein Golden Image zu erstellen. Weitere Informationen finden Sie unter Bereitstellung über ein goldenes Image.
Bevor Sie beginnen, stellen Sie sicher, dass Sie die Trend Micro öffentlichen Schlüssel und die erforderlichen CA-Zertifikate herunterladen.

Prozedur

  1. Auf dem Endpunkt, auf dem Sie Secure Boot aktivieren möchten, installieren Sie den Machine Owner Key (MOK) Befehl mokutil.
    Geben Sie beispielsweise unter Red Hat Enterprise Linux den Befehl ein:
    yum install mokutil
    Für Debian oder Ubuntu geben Sie die Befehle ein:
    sudo apt-get update
sudo apt-get install efitools
  2. Fügen Sie die Trend Micro öffentlichen Schlüssel zur MOK-Liste hinzu.
    Trennen Sie mehrere Schlüssel mit einem Leerzeichen. Zum Beispiel:
    mokutil --import /opt/ds_agent/secureboot/DS2022.der /opt/ds_agent/secureboot/DS20_v2.der
    Wenn Sie dazu aufgefordert werden, geben Sie ein Passwort ein. Stellen Sie sicher, dass Sie das Passwort speichern oder ein Passwort verwenden, das Sie sich merken können. Der Endpunkt benötigt das Passwort, um die Schlüssel in einem späteren Schritt zu registrieren.
  3. Starten Sie den Endpunkt neu.
    Wenn der Endpunkt neu startet, erscheint die Shim UEFI-Schlüsselverwaltungskonsole.
  4. Drücken Sie eine beliebige Taste, um fortzufahren.
  5. Wählen Sie auf dem Bildschirm Perform MOK management Enroll MOK aus.
  6. Wenn Sie die Zertifikat-Hashes der öffentlichen Schlüssel überprüfen müssen, wählen Sie View key X.
  7. Wählen Sie auf dem Bildschirm Enroll the key(s)? Fortfahren aus.
  8. Wählen Sie Ja aus und geben Sie das Passwort ein, das Sie zuvor konfiguriert haben.
  9. Auf dem Bildschirm The system must now be rebooted wählen Sie OK, um Ihre Änderungen zu bestätigen und neu zu starten.
  10. Nachdem der Endpunkt den Neustart abgeschlossen hat, überprüfen Sie, ob die Schlüssel erfolgreich in die MOK-Liste aufgenommen wurden.
    Auf den meisten Betriebssystemen verwenden Sie den Befehl mokutil --test-key /opt/ds_agent/${certificate_file}.der
    Für Debian 11 verwenden Sie den Befehl keyctl show %:.platform | grep 'Trend'