檢視次數:

準備您的端點以允許 Server & Workload Protection 支援安全啟動。

重要
重要
  • 您必須擁有平台金鑰才能註冊安全啟動金鑰。如果您沒有平台金鑰,請參閱您使用的 Linux 發行版的文件以生成安全啟動平台金鑰。
  • 如果您無法存取在啟動時載入的所有裝置的韌體(例如 GPU),請勿更換平台金鑰。如果您無法更新韌體簽署鏈以使用您的新平台金鑰,安全啟動可能會導致該實例永久無法啟動。
  • 如果電腦防護使用的 Oracle Linux 版本早於 UEK R6U3,請勿使用此程序。請改為參閱 。
  • 如果您計劃配置多個端點以使用安全啟動,趨勢科技建議在完成此程序後創建一個金色映像。詳細資訊,請參閱使用金鑰映像進行部署
在開始之前,請確保下載趨勢科技公鑰和所需的 CA 憑證

步驟

  1. 在您想啟用安全啟動的端點上,安裝機器擁有者密鑰 (MOK) 命令 mokutil
    例如,在 Red Hat Enterprise Linux 上,輸入指令:
    yum install mokutil
    對於 Debian 或 Ubuntu,請輸入以下命令:
    sudo apt-get update
sudo apt-get install efitools
  2. 將趨勢科技的公鑰新增至 MOK 清單。
    用空格分隔多個鍵。例如:
    mokutil --import /opt/ds_agent/secureboot/DS2022.der /opt/ds_agent/secureboot/DS20_v2.der
    當系統提示時,請提供密碼。請確保保存密碼,或使用您能記住的密碼。端點需要密碼以便在後續步驟中註冊金鑰。
  3. 重新啟動端點。
    當端點重新啟動時,Shim UEFI 金鑰管理控制台會出現。
  4. 按任意鍵以繼續。
  5. 「Perform MOK management」畫面上,選擇「Enroll MOK」
  6. 如果您需要驗證公鑰的憑證雜湊值,請選擇「View key X」
  7. 「Enroll the key(s)?」畫面上,選擇「繼續」
  8. 選擇「是」,並提供您先前設定的密碼
  9. 「The system must now be rebooted」畫面上,選擇「確定」以確認您的更改並重新啟動。
  10. 端點完成重新啟動後,請確認金鑰已成功加入 MOK 清單。
    在大多數作業系統上,使用命令 mokutil --test-key /opt/ds_agent/${certificate_file}.der
    對於 Debian 11,請使用命令 keyctl show %:.platform | grep 'Trend'