ビュー:

Google Cloud環境を準備して、Server & Workload ProtectionがSecure Bootをサポートできるようにします。

重要
重要
  • Secure Bootキーを登録するには、プラットフォームキーが必要です。プラットフォームキーを持っていない場合は、Google Cloudのドキュメントを参照してSecure Bootプラットフォームキーを生成してください。
  • すべてのデバイスのファームウェアにアクセスできない場合、例えばGPUのように、プラットフォームキーを置き換えないでください。新しいプラットフォームキーを使用するためにファームウェア署名チェーンを更新できない場合、Secure Bootによってインスタンスが永久に起動できなくなる可能性があります。
開始する前に、トレンドマイクロの公開鍵と必要なCA証明書をダウンロードしてください。

手順

  1. CA証明書とトレンドマイクロの公開鍵を使用してSecure Bootで使用されるカスタマイズされた仮想マシンイメージを作成します。
    重要
    重要
    このコマンドを入力するときは、既存の有効なセキュアブートキーをすべて含めてください。このコマンドは既存のすべてのキーを上書きします。これらを含めない場合、それらは削除され、カーネルモジュールはロードされません。
    たとえば、次のコマンドを使用できます。
    gcloud compute images create [IMAGE_NAME] \
 --source-image=[SOURCE_IMAGE] \
 --source-image-project=[SOURCE_PROJECT] \
 --platform-key-file=YOUR_PLATFORM_KEY.der \
 --signature-database-file=./MicCorUEFCA2011_2011-06-27.crt,./MicWinProPCA2011_2011-10-19.crt,./DS2022.der,./DS20_v2.der,[OTHER_EXISTING_KEYS] \
 --guest-os-features=UEFI_COMPATIBLE
    公開鍵はDERまたはBIN形式でなければなりません。それぞれをカンマ (,) で区切ってください。コマンドの使用方法とAPIの詳細については、Google Cloud Platformのドキュメントを参照してください。
  2. カスタマイズしたイメージを使用して、セキュアブートが有効な新しいインスタンスを作成します。
  3. キーが正常に登録されていることを確認してください。
    コマンドgrep 'Trend' /proc/keysを使用してください