Users Guide
可接受的文件格式
安全引导策略仅包含 PK 中的一个密钥,但 KEK 中可能包含多个密钥。理想情况下,平台制造商或平台所有者维护与公用 PK 对应的
私钥。第三方(例如 OS 提供商和设备提供商)维护与 KEK 中的公钥对应的私钥。通过这种方式,平台所有者或第三方可以在特定
系统中添加或移除 db 或 dbx 格式的条目。
安全引导策略使用 db 和 dbx 授权预引导映像文件执行。对于要执行的映像文件,其必须与 db 格式的密钥或散列值关联,并且不得
与 dbx 格式的密钥或散列值关联。若尝试更新 db 或 dbx 内容,必须由专用 PK 或 KEK 进行签名。若尝试更新 PK 或 KEK 内容,必须
由专用 PK 进行签名。
策略组件 可接受的文件格式 可接受的文件扩展名 允许的最大记录数
PK X.509 证书(仅限二进制 DER
格式)
1. .cer
2. .der
3. .crt
一声
KEK
X.509 证书(仅限二进制 DER
格式)
公钥算法
1. .cer
2. .der
3. .crt
4. .pbk
多个
DB 和 DBX
X.509 证书(仅限二进制 DER
格式)
EFI 映像(系统 BIOS 将计算并
导入映像摘要)
1. .cer
2. .der
3. .crt
4. .efi
多个
可以通过单击“System BIOS Settings”(系统 BIOS 设置)下的“System Security”(系统安全性)访问安全引导设置功能。要转至
“System BIOS Settings”(系统 BIOS 设置),请在开机自检过程中显示公司徽标时按 F2。
• 默认情况下,安全引导处于“Disabled”(已禁用)模式,而“Secure Boot Policy”(安全引导策略)设置为“Standard”(标
准)。如果需要激活安全引导,则“Secure Boot”(安全引导)必须配置为“Enabled”(已启用)。
• 当安全引导模式设置为标准时,它表示系统出厂时已加载默认证书和图像摘要或散列值。这些都是为了确保标准固件、驱动程
序、选项 ROM 和引导加载程序的安全性。
• 当需要在服务器上支持新的驱动程序或固件时,必须在安全引导证书存储库的 DB 中注册相应的证书。因此,“Secure Boot
Policy”(安全引导策略)必须配置为“Custom”(自定义)。
当“Secure Boot Policy”(安全引导策略)配置为“Custom”(自定义)时,默认情况下,它会继承系统中加载的标准证书和映像
摘要(您可以在必要时进行任何修改)。“Secure Boot Policy”(安全引导策略)配置为“Custom”(自定义)将允许您执行查
看、导出、导入、删除、全部删除、重设和全部重设等操作,您可以根据需求配置安全引导策略。
当“Secure Boot Policy”(安全引导策略)配置为“Custom”(自定义)时,可启用管理证书存储库的选项,可以使用导出、导
入、删除、全部删除、重设和全部重设等各种操作进行管理。您可以选择要更改的策略 (PK / KEK / DB / DBX),然后通过单击相应
的链接执行适当的操作。每个部分都提供执行导入、导出、删除和重设操作的链接。链接基于适用性启用,具体取决于当时的配
置。全部删除和全部重设是对所有策略都有影响的操作。全部删除会删除自定义策略中的所有证书和映像摘要,而全部重设会从标
准或默认证书存储库恢复所有证书和映像摘要。
设置受管系统
73