Users Guide

Table Of Contents
使用可能なファイルフォーマット
セキュアブートポリシーには PK 1 つのキーだけがまれていますが、のキーが KEK 存在する場合があります。プラット
フォームの製造元またはプラットフォームの所有者のどちらかが、パブリック PK 対応する秘密キーを保持するのが理想的です。
サードパーティOS プロバイダやデバイスプロバイダなどは、KEK 公開キーに対応する秘密キーを保持します。この方法
は、プラットフォームの所有者またはサードパーティが、特定のシステムの db または dbx のエントリを追加または削除すること
ができます。
セキュアブートポリシーは、db dbx 使用して、プレブートイメージファイルの許可します。イメージファイルを
るには、db ではキーまたはハッシュ連付ける必要があり、dbx ではキーまたはハッシュ連付けません。db または dbx
をアップデートするは、プライベート PK または KEK による署名必要です。PK または KEK をアップデートする
は、プライベート PK による署名必要です。
14. 使用可能なファイルフォーマット
ポリシーコンポーネント 使用可能なファイルフォーマ
ット
使用可能なファイル張子 最大レコード
PK X.509 証明書バイナリ DER
のみ
1. .cer
2. .der
3. .crt
1
KEK
X.509 証明書バイナリ DER
のみ
公開キーストア
1. .cer
2. .der
3. .crt
4. .pbk
1 回以上
DB および DBX
X.509 証明書バイナリ DER
のみ
EFI イメージシステム BIOS
がイメージダイジェストを
してインポートします
1. .cer
2. .der
3. .crt
4. .efi
1 回以上
セキュアブート設定機能にアクセスするには、システム BIOS 設定 にある システムセキュリティ をクリックします。システム
BIOS 設定移動するには、POST のロゴが表示されたら、F2 キーをします。
デフォルトでは、セキュアブートは セキュアブートポリシーは 標準 設定されています。セキュアブートポリシーを
するには、セキュアブートをにする必要があります。
セキュアブートモードが 標準 設定されている場合システムにはデフォルトの証明書イメージダイジェスト、または工場
出荷時のハッシュがあることをしています。これは、標準のファームウェア、ドライバ、オプション ROMブートローダの
セキュリティに対応しています。
サーバにしいドライバまたはファームウェアをサポートするには、セキュアブート証明書ストアの DB にそれぞれの証明書
する必要があります。したがって、セキュアブートポリシーをカスタムに設定する必要があります。
セキュアブートポリシーがカスタムに設定されている場合は、デフォルトでシステムにロードされている、更可能標準証明
とイメージダイジェストをしています。カスタムに設定されているセキュアブートポリシーでは、表示エクスポート、イ
ンポート、削除すべて削除リセット、すべてリセット などの操作できます。これらの操作使用して、セキュアブート
ポリシーを設定することができます。
セキュアブートポリシーをカスタムに設定すると、エクスポート、インポート、削除すべて削除リセット、すべてリセット
ど、PKKEKDBDBX のアクションを使用して、証明書ストアを管理するためのオプションをにできます。するポリ
シーPK/KEK/DB/DBXし、それぞれのリンクをクリックすると、適切なアクションをすることができます。セク
ションには、インポート、エクスポート、削除およびリセット 操作するためのリンクがあります。設定時点適用可能
なものにづいて、リンクがになっています。すべて削除 および すべてリセット は、すべてのポリシーに影響える操作
です。すべて削除 は、カスタムポリシーのすべての証明書およびイメージダイジェストを削除し、すべてリセット は、標準
たはデフォルトの証明書ストアからすべての証明書およびイメージダイジェストを復元します。
98 管理下システムのセットアップ