ビュー:

エンドポイントを準備して、Server & Workload Protectionがセキュアブートをサポートできるようにします。

重要
重要
  • Secure Bootキーを登録するには、プラットフォームキーが必要です。プラットフォームキーを持っていない場合は、Linuxディストリビューションのドキュメントを参照してSecure Bootプラットフォームキーを生成してください。
  • すべてのデバイスのファームウェアにアクセスできない場合、プラットフォームキーを置き換えないでください。これには、GPUなどのブート時にロードされるデバイスが含まれます。新しいプラットフォームキーを使用するためにファームウェア署名チェーンを更新できない場合、Secure Bootによってインスタンスが永久に起動できなくなる可能性があります。
  • UEK R6U3より前のOracle Linuxをコンピュータで使用している場合は、この手順を使用しないでください。代わりに、を参照してください。
  • 多くのエンドポイントをSecure Bootで構成する予定がある場合、トレンドマイクロはこの手順を完了した後にゴールデンイメージを作成することを推奨します。詳細については、ゴールドイメージを使用した配信を参照してください。
開始する前に、トレンドマイクロの公開鍵と必要なCA証明書をダウンロードしてください。

手順

  1. Secure Bootを有効にしたいエンドポイントで、Machine Owner Key (MOK) コマンドmokutilをインストールしてください。
    例えば、Red Hat Enterprise Linuxでは、コマンドを入力します:
    yum install mokutil
    DebianまたはUbuntuでは、コマンドを入力します。
    sudo apt-get update
sudo apt-get install efitools
  2. トレンドマイクロの公開鍵をMOKリストに追加します。
    複数のキーをスペースで区切ってください。例:
    mokutil --import /opt/ds_agent/secureboot/DS2022.der /opt/ds_agent/secureboot/DS20_v2.der
    プロンプトが表示されたら、パスワードを入力してください。パスワードを保存するか、覚えやすいパスワードを使用してください。エンドポイントは後の手順でキーを登録するためにパスワードを必要とします。
  3. エンドポイントを再起動してください。
    エンドポイントが再起動すると、Shim UEFIキー管理コンソールが表示されます。
  4. 任意のキーを押して続行してください。
  5. [Perform MOK management] 画面で、[Enroll MOK] を選択します。
  6. 公開鍵の証明書ハッシュを確認する必要がある場合は、[View key X]を選択してください。
  7. [Enroll the key(s)?] 画面で、[続行] を選択します。
  8. [はい]を選択し、以前に設定したパスワードを入力してください。
  9. [The system must now be rebooted]画面で、[OK]を選択して変更を確認し、再起動してください。
  10. エンドポイントが再起動した後、鍵がMOKリストに正常に登録されたことを確認します。
    ほとんどのOSでは、コマンドmokutil --test-key /opt/ds_agent/${certificate_file}.derを使用してください
    Debian 11では、コマンド keyctl show %:.platform | grep 'Trend' を使用してください