Users Guide
可接受的文件格式
Secure Boot 策略在 PK 中仅包含一个密钥,但可能有多个密钥位于 KEK 中。在理想情况下,平台制造商或平台拥有者维护与公用
PK 对应的私钥。第三方(例如操作系统提供商和设备提供商)维护与 KEK 中的公共密钥对应的私钥。这样一来,平台所有者或第三
方可在特定系统的 db 或 dbx 中添加或移除条目。
Secure Boot 策略使用 db 和 dbx 授权预引导映像文件执行。为了使某个映像文件可以执行,它必须与 db 中的密钥或散列值关联,而
不是与 dbx 中的密钥或散列值关联。更新 db 或 dbx 的内容的任何尝试都必须通过专用 PK 或 KEK 签名。更新 PK 或 KEK 内容的任何
尝试都必须通过专用 PK 签名。
表. 14: 可接受的文件格式
策略组件 可接受的文件格式 可接受的文件扩展名 允许的最大记录
PK X.509 证书(仅限二进制 DER
格式)
1. .cer
2. .der
3. .crt
一声
KEK
X.509 证书(仅限二进制 DER
格式)
公共密钥库
1. .cer
2. .der
3. .crt
4. .pbk
多个
DB 和 DBX
X.509 证书(仅限二进制 DER
格式)
EFI 映像(系统 BIOS 将计算并
导入映像摘要)
1.
.cer
2. .der
3. .crt
4. .efi
多个
通过单击系统 BIOS 设置下的系统安全可以访问安全引导设备设置功能。要转至系统 BIOS 设置,请在开机自检过程中显示公司徽标
时按 F2。
• 默认情况下,禁用安全引导,并且将安全引导策略设置为标准。要配置安全引导策略,您必须启用安全引导。
• 当安全引导模式设置为标准,它表示系统具有出厂时加载的默认证书和映像摘要或散列值。此项迎合标准固件、驱动程序、选件
ROM 和引导加载程序的安全性。
• 要在服务器上支持新的驱动程序或固件,必须在 Secure Boot 证书存储区的 DB 中注册各自的证书。因此,必须将“Secure Boot
策略”配置为“自定义”。
将“Secure Boot 策略”配置为“自定义”时,它会继承默认情况下系统中加载的标准证书和映像(您可以修改这些标准证书和映像)。
将“Secure Boot 策略”配置为“自定义”允许您执行诸如以下的操作:查看、导出、导入、删除、全部删除、重置和全部重置。使用这
些操作,您可以配置“Secure Boot 策略”。
将“Secure Boot 策略”配置为“自定义”会启用一些选项,以允许在 PK、KEK、DB 和 DBX 上通过使用诸如以下的各种操作管理证书存
储区:导出、导入、删除、全部删除、重置和全部重置。您可以通过单击相应的链接选择要更改并执行适当操作的策略 (PK / KEK /
DB / DBX)。每个部分都将具有用于执行导入、导出、删除和重置操作的链接。链接基于适用项目启用,而适用项目取决于当时的配
置。“全部删除”和“全部重置”是具有对所有策略都有影响的操作。“全部删除”会删除“自定义”策略中的所有证书和映像摘要,“全部重
置”会还原“标准”或“默认”证书存储区中的所有证书和映像摘要。
BIOS 恢复
BIOS 恢复功能允许您从存储映像中手动恢复 BIOS。开启系统时选中 BIOS,如果检测到损坏或被破坏的 BIOS,则会显示错误消息。
您随后使用 RACADM 启动 BIOS 恢复过程。要执行手动 BIOS 恢复,请参阅 www.dell.com/idracmanuals 上提供的 iDRAC
RACADM Command Line Interface Reference Guide(iDRAC RACADM 命令行界面参考指南)。
设
置受管系统 75