Users Guide
使用可能なファイルフォーマット
セキュアブートポリシーには PK に 1 つのキーだけが含まれていますが、複数のキーが KEK に存在する場合があります。プラット
フォームの製造元またはプラットフォームの所有者のどちらかが、パブリック PK に対応する秘密キーを保持するのが理想的で
す。サードパーティ(OS プロバイダやデバイスプロバイダなど)は、KEK の公開キーに対応する秘密キーを保持します。この方法
では、プラットフォームの所有者またはサードパーティが、特定のシステムの db または dbx のエントリを追加または削除するこ
とができます。
セキュアブートポリシーは、db と dbx を使用して、プレブートイメージファイルの実行を許可します。イメージファイルを実行す
るには、db ではキーまたはハッシュ値を関連付ける必要があり、dbx ではキーまたはハッシュ値を関連付けません。db または dbx
の内容をアップデートする際は、プライベート PK または KEK による署名が必要です。PK または KEK の内容をアップデートする
際は、プライベート PK による署名が必要です。
表 14. 使用可能なファイルフォーマット
ポリシーコンポーネント 使用可能なファイルフォーマ
ット
使用可能なファイル拡張子 最大レコード数
PK X.509 証明書(バイナリ DER
形式のみ)
1. .cer
2. .der
3. .crt
1 回
KEK
X.509 証明書(バイナリ DER
形式のみ)
公開キーストア
1. .cer
2. .der
3. .crt
4. .pbk
1 回以上
DB および DBX
X.509 証明書(バイナリ DER
形式のみ)
EFI イメージ(システム BIOS
がイメージダイジェストを計算
してインポートします)
1.
.cer
2. .der
3. .crt
4. .efi
1 回以上
セキュアブート設定機能にアクセスするには、システム BIOS 設定 の下にある システムセキュリティ をクリックします。システ
ム BIOS 設定に移動するには、POST 中に会社のロゴが表示されたら、F2 キーを押します。
• デフォルトでは、セキュアブートは 無効、セキュアブートポリシーは 標準 に設定されています。セキュアブートポリシーを設
定するには、セキュアブートを有効にする必要があります。
• セキュアブートモードが 標準 に設定されている場合、システムにはデフォルトの証明書、イメージダイジェスト、または工場
出荷時のハッシュがあることを示しています。これは、標準のファームウェア、ドライバ、オプション ROM、ブートローダの
セキュリティに対応しています。
• サーバに新しいドライバまたはファームウェアをサポートするには、セキュアブート証明書ストアの DB にそれぞれの証明書を
登録する必要があります。したがって、セキュアブートポリシーをカスタムに設定する必要があります。
セキュアブートポリシーがカスタムに設定されている場合は、デフォルトでシステムにロードされている、変更可能な標準の証明
書とイメージダイジェストを継承しています。カスタムに設定されているセキュアブートポリシーでは、表示、エクスポート、イ
ンポート、削除、すべて削除、リセット、すべてリセット などの操作を実行できます。これらの操作を使用して、セキュアブート
ポリシーを設定することができます。
セキュアブートポリシーをカスタムに設定すると、エクスポート、インポート、削除、すべて削除、リセット、すべてリセット な
ど、PK、KEK、DB、DBX のアクションを使用して、証明書ストアを管理するためのオプションを有効にできます。変更するポリ
シー(PK/KEK/DB/DBX)を選択し、それぞれのリンクをクリックすると、適切なアクションを実行することができます。各セク
ションには、インポート、エクスポート、削除、およびリセット 操作を実行するためのリンクがあります。設定の時点で適用可能
なものに基づいて、リンクが有効になっています。すべて削除 および すべてリセット は、すべてのポリシーに影響を与える操作
です。すべて削除 は、カスタムポリシー内のすべての証明書およびイメージダイジェストを削除し、すべてリセット は、標準ま
たはデフォルトの証明書ストアからすべての証明書およびイメージダイジェストを復元します。
管理下システムのセットアップ
83